SmartBand- jest to wykonany z tworzywa pasek na nadgarstek, służący do rejestrowania naszej aktywności fizycznej. To jest jego podstawowa funkcja, wielu producentów rozszerzają jednak jego możliwości i tak może służyć za pilot do smartfona, który steruje naszym odtwarzaczem muzycznym lub jeśli dostaniemy SMS’a, opaska nam zawibruje.
Do poprawnego działania potrzebuje stałego połączenia Bluetooth z naszym telefonem, na telefonie zaś posiadamy dedykowaną aplikację, która co jakiś czas potrzebuje synchronizacji z usługą chmury. Do aplikacji musimy wprowadzić następujące parametry:
- imię i nazwisko
- płeć
- wiek
- wzrost
- wagę
- adres mailowy
- hasło do konta
Badacze z Kaspersky Lab postanowili się przyjrzeć bliżej zabezpieczeniom oferowanym przez producentów tego typu gadżetów i jak wynika z ich raportu nie jest dobrze.
Komunikacja Smartband- Smartphone
Komunikacja ta odbywa się przy użyciu technologii Bluetooth Low Energy (BLE). Jest to wersja protokołu Bluetooth o zmniejszonym zapotrzebowaniu na energię, kosztem transferu danych oraz zasięgu, jest szczególnie wykorzystywana w technologiach ubieranych oraz różnego rodzaju czujnikach. Technologia ta posiada wiele możliwości zabezpieczeń, jednak większość producentów nie zaimplementowała ich w swoich produktach.
Simone Margaritelli na swoim blogu opisał sposób na skanowanie otoczenia i sparowanie z urządzeniami obsługującymi technologię BLE. Sama aplikacja którą wykorzystał autor wpisu jest do pobrania na GitHub’ie.
Dzięki tej aplikacji możemy ze sparować się z urządzeniami i pobrać z nich dane na temat aktywności fizycznej dowolnej osoby posiadającej Smartband. Jest to bardzo niebezpieczne, ponieważ niepowołana osoba może poznać nasze nawyki oraz godziny w których np. nie ma nas w domu.
Aplikacja Smartphone
Jest to dedykowana aplikacja służąca do analizy pobranych danych i skorelowania ich przykładowo z danymi GPS oraz planami treningowymi. Pozwala także na dzielenie się naszymi osiągnięciami na portalach społecznościowych, nie mamy jednak wpływu na to które dokładnie dane zostaną udostępnione. Ponadto aplikacje nie posiadają zabezpieczenia w postaci kodu PIN, który zabezpieczył by nasze dane przed niepowołanymi osobami. Aplikacje te są podatne na działanie wielu wirusów tworzonych z myślą o systemie Android.
Komunikacja Smartphone- Usługi Chmury
Na szczęście twórcy zaczęli implementować obsługę SSL/TSL która nie pozwala przechwycić naszych danych wysyłanych na serwer.
Usługa chmury
Coraz częściej słyszymy o wyciekach danych z różnego typu usług typu „Chmura”, zdarza się również że przypadkiem wyszukiwarka internetowa zaindeksuje źle zabezpieczoną witrynę. Ponadto użytkownik ma bardzo ograniczony wpływ na to co jest synchronizowane.
Jak się zabezpieczyć?
Jak podaje Christian Funk z Kaspersky Lab możemy poczynić następujące kroki:
- Używać tylko funkcje na których naprawdę nam zależy
- Używać silnego i unikatowego hasła dla swojego konta użytkownika
- Blokada telefonu pinem lub symbolem
- Szyfrowanie telefonu
- Przeczytaj uważnie umowy które akceptujesz, aby mieć świadomość jakie dane podlegają synchronizacji
- Wykonuj wszelkie aktualizacje w miarę na bieżąco,
- Wyłącz Bluetooth oraz lokalizację jeśli jest Ci to zbędne.
To my jako użytkownicy musimy wymusić na producentach tego typu sprzętu poprawę bezpieczeństwa tak wrażliwych danych. Nie możemy pozwolić na niewiedzę w materii naszych danych ,musimy wiedzieć gdzie są przechowywane oraz w jaki sposób przetwarzane. Czytajmy warunki, które pojawiają się podczas instalacji różnego typu programów. Jeśli nie zainteresujemy się tak ważnym tematem jak ochrona swoich danych osobowych nic się nie zmieni.
Bibliografia
- https://securelist.com/analysis/publications/69412/iot-research-smartbands/
- http://www.evilsocket.net/2015/01/29/nike-fuelband-se-ble-protocol-reversed/
- https://courses.csail.mit.edu/6.857/2014/files/17-cyrbritt-webbhorn-specter-dmiao-hacking-fitbit.pdf