Nauji tyrimai parodė, kad tyliai kaupdami akselerometro ir giroskopo
signalus, išmanieji laikrodžiai gali tapti šnipinėjimo įrankiais, kurie po analizės
gali paversti šiuos parametrus unikaliu laikrodžio savininko duomenų rinkiniu.
Šie duomenų rinkiniai, jei jie yra naudojami netinkamai, leidžia stebėti
naudotojo veiklą, įskaitant ir konfidencialią informaciją.
Nauji tyrimai parodė, kad tyliai kaupdami akselerometro ir giroskopo signalus, išmanieji laikrodžiai gali tapti šnipinėjimo įrankiais, kurie po analizės gali paversti šiuos parametrus unikaliu laikrodžio savininko duomenų rinkiniu. Šie duomenų rinkiniai, jei jie yra naudojami netinkamai, leidžia stebėti naudotojo veiklą, įskaitant ir konfidencialią informaciją. Tai yra naujo „Kaspersky Lab“ tyrimo išvados apie poveikį, kurį gali sukelti „IoT“ (daiktų interneto) paplitimas kasdieniame vartotojų gyvenime.
Pastaraisiais metais kibernetinio saugumo pramonė parodė, kad privatūs naudotojo duomenys tampa labai vertinga preke dėl beveik neriboto panaudojimo nusikalstamiems tikslams – nuo sudėtingo elektroninio profilio kaupimo kibernetiniams sukčiams, iki vartotojų elgesio prognozių rinkos tikslais. Tačiau, nors vartotojų paranoja dėl piktnaudžiavimo asmens duomenimis auga ir daugelis jų atkreipia dėmesį į internetines platformas bei duomenų rinkimo metodus, bet kiti, mažiau akivaizdūs, grėsmės šaltiniai lieka neapsaugoti. Pavyzdžiui, norėdami padėti išlaikyti sveiką gyvenimo būdą, daugelis iš mūsų naudoja prietaisus, skirtus fiziniai veiklai stebėti. Bet tai gali turėti pavojingų pasekmių.
Išmanūs, nešiojami prietaisai, įskaitant išmaniuosius laikrodžius ir apyrankes, yra dažnai naudojami sporto veikloje, siekiant stebėti mūsų sveikatą, gauti skubius pranešimus ir kt. Kad geriau atliktų pagrindines funkcijas į dauguma šių įrenginių yra įmontuoti pagreičio davikliai (akselerometrai), kurie dažnai derinami su sukimosi jutikliais (giroskopais). Jie padeda skaičiuoti žingsnius ir nustato dabartinę naudotojo padėtį. „Kaspersky Lab“ ekspertai nusprendė išnagrinėti, kokią naudotojų informaciją šie jutikliai galėtų pateikti neleistinoms trečiosioms šalims ir atidžiau pažvelgė į kelis skirtingų tiekėjų išmaniuosius laikrodžius.
Norėdami išnagrinėti šį klausimą, ekspertai sukūrė gana paprastą išmaniesiems laikrodžiams skirtą programą, kuri įrašė signalus iš įmontuotų akselerometrų ir giroskopų. Įrašyti duomenys buvo saugomi nešiojamo prietaiso atmintyje arba pasitelkus „Bluetooth“ kaupiami mobiliajame telefone.
Naudojant matematinius algoritmus, kurie prieinami išmaniojo įrankio galiai, buvo įmanoma nustatyti elgesio modelius, laiką, kada ir kur vartotojai judėjo bei kiek laiko jie tai darė. Svarbiausia, kad buvo įmanoma identifikuoti slaptą vartotojo veiklą, įskaitant kompiuterio slaptažodį (iki 96 % tikslumo), PIN kodo įvedimą į bankomatą (maždaug 87 %) ir mobiliojo telefono atrakinimą (apie 64 %).
Netgi pačio signalo duomenų rinkinys yra elgesio modelis, kuris unikalus prietaiso savininkui. Naudodama šią priemonę trečioji šalis galėtų eiti toliau ir bandyti identifikuoti naudotojo tapatybę pagal el. pašto adresą, kuris buvo pateiktas užregistruojant programą arba įgalinant prieigą prie „Android“ paskyros patvirtinimų.
O po to, tai tik laiko klausimas, kol bus nustatoma išsami informacija apie auką, įskaitant jos kasdienę veiklą, kai ji naudoja svarbius asmeninius duomenis. Atsižvelgiant į didėjančią naudotojų privačių duomenų kainą, galėtume greitai atsidurti pasaulyje, kuriame trečiosios šalys užsidirbtų iš šio vektoriaus. Bet net jei šis pažeidžiamumas nėra kapitalizuotas, kibernetiniai nusikaltėliai gali jį panaudoti savo kenkėjiškiems tikslas. Jiems tik reikia šiek tiek vaizduotės ir gerų techninių žinių. Pavyzdžiui, jie gali iššifruoti gautus signalus naudodamiesi neuroniniais tinklais arba įdiegę „skimerius“ savo mėgstamuose bankomatuose.
Jau atrado būdą, kaip nusikaltėliai gali pasiekti 80 % tikslumą bandydami iššifruoti akselerometro signalus ir taip nustatyti slaptažodį ar PIN kodą naudodami tik iš išmaniųjų laikrodžių surinktus duomenis.
„Išmanieji nešiojami įrenginiai yra ne tik miniatiūriniai įtaisai, bet ir kompiuterinės fizinės sistemos, kurios gali įrašyti, saugoti ir apdoroti fizinius parametrus. Mūsų tyrimai rodo, kad net labai paprasti algoritmai, kurių pagrindu veikia išmanieji laikrodžiai, gali užfiksuoti unikalų naudotojo akselerometro ir giroskopo signalų profilį. Šie profiliai gali būti naudojami paviešinti naudotoją ir stebėti jo veiklą, įskaitant momentus, kai pateikiama slapta informacija. Ir tai galima padaryti naudojant teisėtas išmaniųjų laikrodžių programėles, kurios slaptu būdu siunčia signalų duomenis trečiosioms šalims“, – sakė saugumo entuziastas ir vienas iš „Kaspersky Lab” tyrimo bendraautorių Sergey Lurye.
Naudojant išmaniuosius įrenginius „Kaspersky Lab“ tyrėjai rekomenduoja vartotojams atkreipti dėmesį į šias ypatybes:
- Jei programa siunčia užklausą atkurti vartotojo paskyros informaciją, tai turėtų kelti susirūpinimą, nes taip nusikaltėliai gali lengvai sukurti prietaiso savininko „skaitmeninį pirštų atspaudą“.
- Jei programa taip pat prašo leidimo siųsti geografinės vietos duomenis, turėtumėte nerimauti. Nesuteikite savo išmaniųjų laikrodžių programėlės papildomų leidimų ir nenaudokite darbinio el. pašto adreso kaip prisijungimo vardo.
- Greitas prietaiso baterijos suvartojimas gali būti viena iš pavojaus ženklų. Jei jūsų prietaisas veikia vos kelias valandas, o ne visą dieną, turėtumėte patikrinti, kas iš tikrųjų vykstą. Galbūt jis nuolatos fiksuoja ir išsaugo veiklos žurnalą arba dar blogiau – siunčia šią informaciją kitiems asmenims.
