Är din Fitness Tracker som sätter din säkerhet i fara?
Med tanke på var vår data kommer att läcka är en svår uppgift. Vi tar de nödvändiga försiktighetsåtgärderna över våra enheter, installerar antivirusprogram, kör malware-skanningar och förhoppningsvis dubbel- och trippelkontrolls e-postmeddelanden för allt misstänkt. Dessa är bara några av de potentiella attackvektorer som väntar på oss.
Säkerhetsforskare har avslöjat det bortsett från vårt “regelbunden” En av de nyaste teknikerna skulle kunna ge angripare en oväntad men lättillgänglig vinkel för att stjäla våra personuppgifter. Fitness trackers har nyligen kommit under säkerhetsljuset efter en teknisk rapport framhävt en serie allvarliga säkerhetsbrister i sina konstruktioner, vilket teoretiskt låter potentiella angripare avlyssna dina personuppgifter.
Fatal Fitness Flaws
Fitness trackers har sett en aldrig tidigare skådad popularitetökning 17 Bästa Hälsa och Fitness Gadgets för att förbättra din kropp 17 Bästa Hälsa och Fitness Gadgets för att förbättra din kropp Under de senaste åren har innovation kring hälsa och fitness gadgets exploderat. Här är några av de fantastiska bitarna av kit som du kan använda för att få dig att må bra. Läs mer under de senaste åren. Endast fjärde kvartalet 2015 såg en massiv ökning med 197% på årsbasis, från 7,1 miljoner till 21 miljoner enheter. Marknadsanalytiker Parks Associates uppskattar den globala fitnesstrackermarknaden fortsätter att växa och stiger från 2 miljarder dollar 2014 till 5,4 miljarder dollar år 2019. Dessa är signifikanta vinster, vilket indikerar antalet användare som potentiellt utsätter sig för denna tidigare okända attackvektor.
Kanadensisk icke-vinstdrivande forskningsorganisation Open Effect, och tvärvetenskapligt forskningslaboratorium Citizen Lab, undersökt åtta av de mest populära fitness wearables som för närvarande finns tillgängliga: Apple Watch, Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, Mio Fuse, The Withings Pulse O2 och Xiaomi Mi Band.
Den kombinerade forskningsrapporten försökte upptäcka de steg som teknikbolagen tar för att skydda och behålla din datasäkerhet. Medan vi känner till och förstår träningspassörer samlar hjärtslag, fotsteg, kalorier och sömndata, undersökte forskarna precis vad som händer med data när det är i händerna på enhetsutvecklarna.
Vilka data skickas till en fjärrserver? Hur säkrar teknikbolagen data? Vem delas det med? Hur använder företagen faktiskt informationen?
Viktiga resultat ingår:
- Sju av åtta fitnessspårningsenheter avger persistenta unika identifierare (Bluetooth Media Access Control-adress) som kan utsätta sina användare för långsiktig spårning av deras plats när enheten inte är kopplad och ansluten till en mobil enhet.
- Jawbone and Withings-applikationer kan utnyttjas för att skapa falska fitnessbandsposter. Sådana falska journaler ifrågasätter tillförlitligheten av den datasökningsanvändning som används i domstolsfall och försäkringsprogram.
- Programmet Garmin Connect-applikationer (iPhone och Android) och Withings Health Mate (Android) har säkerhetsproblem som gör det möjligt för en obehörig tredje part att läsa, skriva och ta bort användardata.
- Garmin Connect använder inte grundläggande datatransmissionssäkerhetspraxis för dess iOS- eller Android-applikationer och utsätter därför fitnessinformation för övervakning eller manipulering.
Persistenta unika identifierare
Slitstark teknik avger en beständig Bluetooth-signal. Oavsett om det är smartwatch eller fitnessspårare, används denna signal för att konsekvent kommunicera med din smartphone. Deras kommunikation med den externa enheten bibehålls med hjälp av en MAC-adress (Media Access Control) Vad är en MAC-adress och kan den användas för att säkra ditt hemnätverk? [MakeUseOf Explains] Vad är en MAC-adress och kan den användas för att säkra ditt hemnätverk? [MakeUseOf Explains] Nätverksstruktur och ledning har sin egen lingo. Några av de villkor som kastas runt kommer troligen redan att låta känna dig bekant. Ethernet och Wi-Fi är i stor utsträckning självklara koncept, även om det kanske kräver lite ... Läs mer, unikt identifiera fitnessspåraren.
I samband med fitnessspårare kräver underhåll av personuppgifter att dessa adresser är randomiserade för att säkerställa att användaren inte kan spåras och identifieras av MAC-adressen. Bluetooth-beacons, som används med ökande frekvens i köpcentra för att skapa målinriktad mobilannonsering, kan spåra och profilera dessa enheter med en enda MAC-adress (de kan även byggas av alla med en lämplig, kompakt dator. Bygg en DIY iBeacon med en Raspberry Pi Build en DIY iBeacon med en Raspberry Pi Annonser riktade till en viss användare som går genom ett storstadscenter är saker av dystopiska futures. Men det är inte en dystopisk framtid alls: tekniken är redan här. Läs mer). Faktum är att Apple-klockan randomiserat sina MAC-adresser av de enheter som testades “vid ett ungefär 10 minuters intervall” för att skydda användarens identitet.
Med den ihållande MAC-adressen som loggats kunde användarens plats spåras med bra signal från fyren till fyren. Om ett köpcenter beslutar att samla in användarplatsinformation under sitt köpbesök, kan uppgifterna säljas till en marknadsföringsbyrå eller annan datamäklare utan att först anmäla användaren. Om en enda datamäklare kan köpa flera profiler kan information samlas för att skapa sofistikerade riktade annonsprofiler, aktiverade varje gång användaren (och deras unika enhetsidentifierare) går in i byggnaden.
Apparna är lika dåliga
Varje fitnessspårare levereras med sin egen övervakningsapp, fånga överflödet av fitnessrelaterade data och översätta det till en fin visuell bild av användarnas handlingar. Men själva programmen har visat sig läcka personlig information, på flera överföringsplatser.
Exempelvis kan man förvänta sig att överföring av personuppgifter krypteras med HTTPS, i alla fall Vad är HTTPS och hur man aktiverar säkra anslutningar per standard Vad är HTTPS och hur man aktiverar säkra anslutningar per standard säkerhetsproblem sprider sig långt och brett och har nått framsteg för mest allas tankar. Villkor som antivirus eller brandvägg är inte längre märkliga ordförråd och förstår inte bara, men används även av ... Läs mer; Garmin Connect misslyckades med att göra det och lämnade användardata passivt för en potentiell avlyssning.
På samma sätt, även om Bellabeat Leaf and Withings Health Mate kommunicerar med fjärrservrar med HTTPS, skickade båda företagen klartext-e-post till användare för att bekräfta sina registreringsuppgifter, vilket låter användarna öppna för man-i-mitten-attacker. Varje angripare med en fungerande kunskap om Bellabeat eller Withings API kan få tillgång till ett brett utbud av personlig träningsinformation om några minuter. Denna typ av attack kan också användas för att driva skadliga eller falska data till den bärbara eller användarens telefon också.
Data Tampering
Tre av Fitness Tracker apps observerades “var sårbara för en motiverad användare som skapar falsk genererad träningsdata för sitt eget konto,” lura företagets servrar till att acceptera falska data. Open Effect och Citizen Lab skapade flera applikationer utformade för att lura fitnesstrackerservrarna för att acceptera falsk information, med Bellabeat LEAF, Jawbone UP och Withings Health Mate som kommer upp kort.
“Vi skickade en förfrågan till Jawbone om att vår testanvändare tog tio miljarder steg på en enda dag”
Deras tillämpning fördelade jämnt stegtider i fasta intervaller över en önskad tidsram, vilket skapade en artificiell fördelning av steg. Forskarna avslutade en mer sofistikerad strategi skulle “slumpmässigt fördela steg för att skapa en mer realistisk utseende” för att ytterligare upptäcka utrymme.
Varför är detta ett problem?
Fitness trackers kan upprätthålla en kontinuerlig ström av personlig datainsamling Hur mycket av dina personliga data kunde smarta enheter spåra? Hur mycket av dina personuppgifter kunde smarta enheter spåra? Smart hem integritet och säkerhetshänsyn är fortfarande lika verkliga som någonsin. Och även om vi älskar idén om smart teknik, är detta bara en av många saker att vara medveten om innan du dykar ... Läs mer. Vanliga datainsamlingsvektorer inkluderar fotsteg, hjärtslag, sömnmönster, höjd, geolokationer, aktivitetskvalitet och typer av aktiviteter.
Några av fitnessspårarna uppmuntrar sina användare att delta i ytterligare fitness eller sociala aktiviteter, som att specificera mat för kalorifel och analys, personligt humör vid specifika tider på dagen (även i förhållande till aktiviteter och livsmedelskonsumtion), för att logga in i deras träning mål 10 Excel-mallar för att spåra din hälsa och fitness 10 Excel-mallar för att spåra din hälsa och fitness Läs mer och spåra framsteg över tiden Spåra viktiga områden i ditt liv i 1 minut med Google Forms Spåra viktiga områden i ditt liv i 1 minut med Google Forms Det är fantastiskt vad du kan lära dig om dig själv när du tar dig tid att uppmärksamma dina dagliga vanor och beteenden. Använd de mångsidiga Google Forms för att följa dina framsteg med viktiga mål. Läs mer, eller tävla mot andra fitnessentusiaster i spelade sociala medier-stylade instrumentpanelmiljöer. De bästa sociala fitnessapplikationerna för att träna med vänner och familj. De bästa sociala fitnessapplikationerna för att träna med vänner och familj. Sociala media-fitnessapps kan vara en av De bästa sätten att hålla sig ansvarig för dina vänner, men du måste hitta den app som fungerar bäst för dig! Läs mer .
De frågor som uppkommit av Open Effect och Citizen Lab illustrera farorna i att förlita sig på träningspassörer för att ge tillförlitliga personuppgifter i olika situationer. Fitness tracker data har använts för att säkra försäkringar, eller representerar framsteg som gjorts med medicinska problem, men vi ser att uppgifterna lätt kan förfalskas.
Dessutom gör de här datafrågorna de här frågorna om dessa spårningsspecifika teknikföretags karaktär? Hur översätter dessa fattiga försök till dataskydd till sina andra produkter? Problemet är inte bundet till fitnessspårare ensam och det borde göras mer av både medborgare och tillsynsmyndigheter för att säkerställa att användardata är skyddade hela tiden, för att vi inte hittar hela industrier undergrävs av deras till synes bristande omsorg och diskretion med privata uppgifter.
Vad Nästa?
Rapportresultaten är tydliga: ökad säkerhet baserad på rekommendationerna från Open Effect och Citizen Lab. Personlig och privat säkerhet är allvarlig, och vi borde ta itu med problem när de anländer. Men det är inte bara förbättrad säkerhet som behövs. Fitnesstracker-användare måste förstå var deras data skickas till, var den är lagrad och vilka andra parter som har tillgång till det.
Det är på teknikföretag att kommunicera med sina användare med det djupet av teknisk övervakning som de har inkunnit, oavsett om de inser det eller inte, tillsammans med potentiella risker.
Är det dags att kasta din fitnessspårare bort? Förmodligen inte, särskilt om du har en Apple Watch, inte Apple Watch: 9 Andra iPhone-vänliga slitdelar, inte Apple Watch: 9 Andra iPhonevänliga slitdelar Tillkännagivandet av Apple Watch var stora nyheter, men det är långt ifrån den enda bärbara enheten utformad för att användas med en iPhone. Läs mer . Trots blandade reaktioner mot resultaten av den tekniska rapporten från fitnesstracktillverkarna är det osannolikt att dessa sårbarheter kommer att finnas för länge.
Eller vi kan åtminstone hoppas att de inte kommer att existera för länge.
Är du orolig för din fitnessspårare? Har du förlorat data genom bärbar teknik? Vad hände? Låt oss veta nedan!
Utforska mer om: Fitness, Online-säkerhet, Slitstark teknik.