Votre Fitness Tracker met-il votre sécurité en danger?

Publicité

Il est difficile de déterminer d'où nos données vont fuir. Nous prenons les précautions nécessaires sur tous nos appareils, en installant un logiciel antivirus, en exécutant des analyses de logiciels malveillants et, espérons-le, en vérifiant et en vérifiant les e-mails pour tout élément suspect. Ce ne sont que quelques-uns des vecteurs d'attaque potentiels qui nous attendent.

Les chercheurs en sécurité ont révélé qu'en dehors de nos appareils «ordinaires», l'une des plus récentes formes de la technologie pourrait fournir aux attaquants un angle inattendu mais facilement accessible pour voler notre données personnelles. Les trackers de fitness ont récemment été mis à l'honneur après qu'un rapport technique a mis en évidence une série de de graves failles de sécurité dans leurs conceptions, permettant théoriquement aux attaquants potentiels d'intercepter votre Les données.

Fatal Fitness Flaws

Les trackers de fitness ont vu une popularité sans précédent 17 meilleurs gadgets de santé et de remise en forme pour améliorer votre corps

Au cours des dernières années, l'innovation autour des gadgets de santé et de fitness a explosé. Voici quelques-uns des superbes pièces de kit que vous pourrez utiliser pour vous sentir bien. Lire la suite au cours des dernières années. À lui seul, le 4e trimestre 2015 a vu une augmentation massive de 197% des ventes d'une année sur l'autre, passant de 7,1 millions à 21 millions d'unités. Analystes de marché Associés des parcs estimer le marché mondial du tracker de fitness continuera de croître, passant de 2 milliards de dollars en 2014 à 5,4 milliards de dollars en 2019. Ce sont des gains importants, indiquant le nombre d'utilisateurs susceptibles de s'exposer à ce vecteur d'attaque inconnu auparavant.

Organisme canadien de recherche sans but lucratif Effet ouvert, et laboratoire de recherche interdisciplinaire Citizen Lab, examiné huit des appareils de fitness les plus populaires actuellement disponibles: l'Apple Watch, le Basis Peak, le Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, Mio Fuse, Withings Pulse O2 et Xiaomi Mi Bande.

le rapport de recherche combiné cherchait à découvrir les mesures prises par les entreprises technologiques pour protéger et maintenir la sécurité de vos données. Bien que nous sachions et comprenions que les trackers de fitness collecteront les battements cardiaques, les pas, les calories et le sommeil données, les chercheurs ont exploré ce qui arrive à ces données lorsqu'elles sont entre les mains de l'appareil les développeurs.

Quelles données sont envoyées à un serveur distant? Comment les entreprises technologiques sécurisent-elles les données? Avec qui est-il partagé? Comment les entreprises utilisent-elles réellement les informations?

Les principales conclusions sont les suivantes:

• Sept des huit appareils de suivi de la condition physique émettent des identifiants uniques persistants (adresse Bluetooth Media Access Control) qui peuvent exposer leurs utilisateurs à un suivi à long terme de leur emplacement lorsque l'appareil n'est pas couplé et connecté à un mobile dispositif.
• Les applications Jawbone et Withings peuvent être exploitées pour créer de faux enregistrements de groupes de fitness. Ces faux enregistrements remettent en question la fiabilité de l'utilisation de ces données de suivi de la condition physique dans les affaires judiciaires et les programmes d'assurance.
• Les applications Garmin Connect (iPhone et Android) et Withings Health Mate (Android) ont des vulnérabilités de sécurité qui permettent à un tiers non autorisé de lire, d'écrire et de supprimer l'utilisateur Les données.
• Garmin Connect n'utilise pas de pratiques de sécurité de transmission de données de base pour ses applications iOS ou Android et expose par conséquent les informations de fitness à la surveillance ou à la falsification.

Identifiants uniques persistants

La technologie portable émet un signal Bluetooth persistant. Qu'il s'agisse d'une montre intelligente ou d'un tracker de fitness, ce signal est utilisé pour communiquer de manière cohérente avec votre smartphone. Leur communication avec l'appareil externe est maintenu à l'aide d'une adresse MAC (Media Access Control) Adresse IP et MAC: à quoi servent-elles?Internet n'est pas si différent du service postal ordinaire. Au lieu d'une adresse personnelle, nous avons des adresses IP. Au lieu de noms, nous avons des adresses MAC. Ensemble, ils acheminent les données vers votre porte. Voici ... Lire la suite , identifiant de manière unique le tracker de fitness.

Dans le contexte des trackers de fitness, la maintenance de la sécurité des données personnelles exige que ces adresses soient randomisées pour garantir que l'utilisateur ne puisse pas être tracker et identifié par l'adresse MAC. Les balises Bluetooth, utilisées avec une fréquence croissante dans les centres commerciaux pour créer des publicités mobiles ciblées, peuvent suivre et profiler ces appareils à l'aide d'une seule adresse MAC (ils peuvent également être construit par n'importe qui avec un ordinateur compact et adapté Construisez un iBeacon DIY avec un Raspberry PiLes publicités ciblées sur un utilisateur particulier se promenant dans un centre métropolitain sont l'étoffe d'un avenir dystopique. Mais ce n'est pas du tout un avenir dystopique: la technologie est déjà là. Lire la suite ). En effet, parmi les appareils testés, seule l'Apple Watch a randomisé son adresse MAC «à un intervalle d'environ 10 minutes» pour protéger l'identité de son utilisateur.

Une fois l'adresse MAC persistante enregistrée, il est possible de suivre l'emplacement de l'utilisateur d'une balise à l'autre. Si un centre commercial décide de collecter des informations de localisation de l'utilisateur tout au long de sa visite, les données pourraient être vendues à une agence de marketing ou à un autre courtier de données, sans en informer au préalable l'utilisateur. Si un seul courtier de données peut acheter plusieurs profils, les informations peuvent être rassemblées pour créer des profils publicitaires ciblés, activés à chaque fois que l'utilisateur (et son identifiant d'appareil unique) entre sur le bâtiment.

Les applications sont tout aussi mauvaises

Chaque tracker de fitness est livré avec sa propre application de surveillance, capturant la pléthore de données liées à la fitness et les traduisant en une belle représentation visuelle des actions des utilisateurs. Cependant, il a été constaté que les applications elles-mêmes fuyaient des informations personnelles à plusieurs endroits de transmission.

Par exemple, on pourrait s'attendre à ce que toute transmission de données personnelles soit chiffré en utilisant HTTPS au moins Qu'est-ce que HTTPS et comment activer les connexions sécurisées par défautLes problèmes de sécurité se répandent partout et ont atteint le premier plan de la plupart des gens. Des termes comme antivirus ou pare-feu ne sont plus un vocabulaire étrange et sont non seulement compris, mais également utilisés par ... Lire la suite ; le Garmin Connect n'a pas réussi à le faire, laissant les données utilisateur passivement exposées à une écoute indiscrète potentielle.

De même, bien que le Bellabeat Leaf et Withings Health Mate communiquent avec des serveurs distants à l'aide de HTTPS, les deux les entreprises ont envoyé des e-mails en texte brut aux utilisateurs pour confirmer leurs informations d'identification, laissant les utilisateurs ouverts à l'homme du milieu attaques. Tout attaquant ayant une connaissance pratique de l'API Bellabeat ou Withings pourrait accéder à un large éventail d'informations personnelles sur la forme physique en quelques minutes. Cette forme d'attaque pourrait également être utilisée pour envoyer des données malveillantes ou fausses au portable ou au téléphone de l'utilisateur.

Altération des données

Trois des applications de suivi de la condition physique observées «étaient vulnérables à un utilisateur motivé créant de fausses données de forme physique générées pour son propre compte», incitant les serveurs de l'entreprise à accepter de fausses données. Effet ouvert et Citizen Lab a créé plusieurs applications conçues pour inciter les serveurs de suivi de la condition physique à accepter de fausses informations, Bellabeat LEAF, Jawbone UP et Withings Health Mate étant à court.

«Nous avons envoyé une demande à Jawbone indiquant que notre utilisateur de test avait fait dix milliards de pas en une seule journée»

Leur application a réparti uniformément les temporisations des étapes dans des intervalles fixes sur une période de temps souhaitée, créant une distribution artificielle des étapes. Les chercheurs ont conclu qu'une approche plus sophistiquée «allouerait de manière aléatoire des étapes pour établir une distribution d'apparence plus réaliste» pour échapper davantage à la détection.

Pourquoi c'est un problème?

Les trackers de fitness peuvent maintenir un flux continu de collecte de données personnelles Quelle quantité de vos données personnelles les appareils intelligents pourraient-ils suivre?Les problèmes de confidentialité et de sécurité des maisons intelligentes sont toujours aussi réels. Et même si nous aimons l'idée de la technologie intelligente, ce n'est qu'une des nombreuses choses à savoir avant de plonger ... Lire la suite . Les vecteurs de collecte de données courants comprennent les pas, les battements cardiaques, les habitudes de sommeil, l'altitude, les géolocalisations, la qualité des activités et les types d'activités.

Certains des trackers de fitness encouragent leurs utilisateurs à s'engager dans des activités de fitness ou sociales supplémentaires, telles que la spécification de nourriture pour le comptage et l'analyse des calories, l'humeur personnelle à des moments spécifiques de la journée (également en relation avec les activités et la nourriture consommation), pour enregistrer leurs objectifs de fitness 10 modèles Excel pour suivre votre santé et votre forme physique Lire la suite et suivre les progrès au fil du temps Suivez les domaines clés de votre vie en 1 minute avec Google FormsC'est incroyable ce que vous pouvez apprendre sur vous-même lorsque vous prenez le temps de prêter attention à vos habitudes et comportements quotidiens. Utilisez les formulaires Google polyvalents pour suivre vos progrès avec des objectifs importants. Lire la suite , ou pour rivaliser avec d'autres passionnés de fitness dans environnements de tableau de bord de style médias sociaux gamifiés Les meilleures applications de remise en forme sociale pour travailler avec des amis et la familleLes applications de fitness sur les réseaux sociaux sont peut-être l'un des meilleurs moyens de rendre des comptes à vos amis, mais vous devez trouver l'application qui vous convient le mieux! Lire la suite .

Les questions soulevées par Effet ouvert et Citizen Lab illustrer les dangers liés à l'utilisation de trackers de fitness pour fournir des données personnelles fiables dans diverses situations. Les données du tracker de fitness ont été utilisées pour sécuriser les polices d'assurance, ou représentent des progrès réalisés avec des problèmes médicaux, mais nous voyons que les données pourraient facilement être falsifiées.

De plus, ces problèmes de données rendent-ils douteux la nature même de ces sociétés de technologie de suivi du fitness? Comment ces mauvaises tentatives de protection des données se traduisent-elles dans leurs autres produits? Le problème n'est pas lié uniquement aux trackers de fitness, et les citoyens et les régulateurs devraient faire plus pour garantir les données des utilisateurs est protégé en tout temps, de peur que nous trouvions des industries entières minées par leur manque apparent de soin et de discrétion avec Les données.

Et ensuite?

Les conclusions du rapport sont claires: une sécurité accrue sur la base des recommandations de Effet ouvert et Citizen Lab. La sécurité personnelle et privée est grave et nous devons régler les problèmes à mesure qu'ils arrivent. Mais ce n'est pas seulement une sécurité renforcée qui est nécessaire. Les utilisateurs du tracker de fitness doivent comprendre où leurs données sont envoyées, où elles sont stockées et quelles autres parties y ont accès.

Il incombe aux entreprises technologiques de communiquer avec leurs utilisateurs toute la profondeur des surveillance, ils ont également acquiescé, qu’ils le réalisent ou non, ainsi que son potentiel des risques.

Est-il temps de jeter votre tracker de fitness? Probablement pas, surtout si vous avez une Apple Watch Pas l'Apple Watch: 9 autres appareils portables compatibles avec l'iPhoneL'annonce de l'Apple Watch était une grande nouvelle, mais elle est loin d'être le seul appareil portable conçu pour être utilisé avec un iPhone. Lire la suite . Malgré des réactions mitigées à l'égard des conclusions du rapport technique des fabricants de trackers de fitness, il est peu probable que ces vulnérabilités persistent longtemps.

Ou, nous pouvons au moins espérer qu'ils n'existeront pas longtemps.

Êtes-vous inquiet pour votre tracker de fitness? Avez-vous perdu des données grâce à la technologie portable? Qu'est-il arrivé? Faites-le nous savoir ci-dessous!