Video: REAL RACING 3 LEAD FOOT EDITION (November 2024)
Ko dosežete 10.000 korakov ali dosežete kakšen drug cilj fitnes sledilca, želite svoje dosežke deliti s prijatelji, kajne? Glede na to, katero napravo uporabljate, lahko svoje zasebne podatke delite tudi s svetom ali z vsemi v bližini. Raziskovalci z Inštituta AV-Test so analizirali varnost devetih priljubljenih fitnes sledilcev, nekateri njihovi izsledki pa niso bili lepi.
Skratka, Fitbit Charge in Acer Liquid Leap sploh ne zavarujeta povezave Bluetooth. To pomeni, da se lahko vaši podatki premaknejo. Jawbone Up24 in Sony Smartband Talk SWR30 sta najbolje zaščitila podatke uporabnikov.
Seveda je bil preizkušen le en izdelek v liniji izdelkov vsakega podjetja, vendar previdnost narekuje ob predpostavki, da bodo ugotovitve veljale po vsem svetu. To, da imate Fitbit Surge in ne Fitbit Charge, še ne pomeni, da ste varni.
Koga briga?
Toda počakaj, lahko rečeš, vseeno mi je, kdo vidi moje podatke; Ponosen sem na svojo kondicijo! Poročilo navaja kar nekaj razlogov, da je takšen odnos lahko naiven. Na primer, nekatere zdravstvene zavarovalnice ponujajo nižje cene strankam, ki dokazujejo svojo sposobnost s sledilcem. Brezvestni uporabnik lahko ugrabi podatke, ki so bolj primerni za soseda, da bi dosegel nižjo stopnjo, ali pa jih ukrade in obdrži za odkupnino.
Če podatki v napravi niso zaščiteni, jih je mogoče spremeniti tudi od zunaj. "Ne bo dolgo, ko se bodo otroci igrali potegavščine na dirkališču, tako da bodo zvišali njegov krvni tlak in podatke o pulzu za nekaj zarez, " je zapisano v poročilu, "s čimer lahko hipohondriki še bolj skrbijo." Dejansko poročilo opisuje, kako enostavno je raziskovalcem uspelo prevzeti eno posebno napravo.
Promiskuiteta Bluetooth
Vsi preizkušeni sledilci uporabljajo Bluetooth za povezavo z aplikacijo Android. Ko je pravilno izveden, je seznanjanje Bluetooth lahko precej varno. Sony Smartband Talk SWR30, Polar Loop in Withings Pulse Ox postanejo nevidne za druge naprave, ki so enkrat seznanjene s telefonom. Garmin Vivosmart in Huawei TalkBand B1 za povezovanje potrebujeta avtentikacijo. Jawbone Up24 in LG Lifeband Touch FB84 segata dlje, za povezovanje pa je potreben fizični dostop do naprave.
Preostala dva, Acer Liquid Leap in Fitbit Charge, nikakor ne zavarujeta povezave BlueTooth. Zlasti Fitbit Charge se bo seznanil s katero koli napravo Bluetooth, ki je v dosegu, podatki v navadnem besedilu pa sploh niso zaščiteni. Izdelki Jawbone in Huawei niso tako široko odprti, vendar se bodo parili z več kot eno napravo. Kar zadeva Acer Liquid Leap, se zdi, da zahteva preverjanje pristnosti s kodo PIN, vendar je koda statično izpeljana iz javnega imena naprave.
Zaščita aplikacije
Programi Android se razlikujejo od sestavljenih izvedljivih programov, ki se izvajajo v sistemu Windows. Vsakdo lahko dekompilira program Android nazaj v njegovo izvorno kodo z uporabo dostopnih orodij. Heker lahko s to izvorno kodo določi, kako fitnes aplikacija komunicira s pripadajočim sledilcem, in napiše ponarejeno aplikacijo, da prevzame to komunikacijo.
Spretni Android programerji uporabljajo orodja in tehnike za prikrivanje programske kode, kar otežuje povratni inženiring. Izklopijo tudi funkcije beleženja, ki so uporabne med ustvarjanjem programov, vendar dajejo notranje podrobnosti o aplikacijah. In seveda sestavijo končno različico z izklopljeno odpravljanje napak.
Le dva od preizkušenih izdelkov, Jawbone Up24 in Sony Smartband Talk SWR30, sta uporabila vse tri omenjene tehnike. Huawei in Withings sta izdala kodo za odpravljanje napak z vklopljeno beleženje in uporabljala le omejeno zaznavnost. Acer in LG Lifeband nista poskušala preprečiti povratnega inženiringa.
Raziskovalci podjetja AV-Test so zlahka ustvarili ponarejeno aplikacijo, ki bi lahko sesala podatke iz naprave Acer. Uspeli so celo spremeniti notranje zapise naprave, tako da "je bila vadba dneva končana v samo nekaj sekundah, ne da bi se zlomil znoj."
Slabe novice, dobre novice
Če ste zakoreninili telefon, ste bistveno bolj ranljivi za vse vrste vdorov, vključno s hekanjem v fitnesu. Dobra novica je, da vse preizkušene naprave svoje podatke pravilno shranijo v zaščiten pomnilnik. Slaba novica je, da če ste vkoreninili telefon, ta pomnilnik ni več zaščiten.
Še več dobrih novic - vse preizkušene aplikacije so pravilno zaščitile svoje podatke pri prehodu v oblak. Podatke so šifrirali in jih posredovali s pomočjo
- Najboljši sledilci fitnesa za leto 2019 Najboljši sledilci fitnesa za leto 2019
- Čeljust UP24 Čeljust UP24
- Withings Pulse O2 Withings Pulse O2
- Sony SmartBand SWR10 Sony SmartBand SWR10
Zmagovalci in poraženci
Celotno poročilo vsebuje podrobnosti o tem, kaj natančno so se naučili raziskovalci, in kaže, da je razpoložljiva varnost na tem področju izdelkov zelo različna. Priročen grafikon prikazuje 11 pomembnih točk za varnost sledilca fitnesa. Na vrhu je Sony Smartband Talk SWR30 zgrešil samo enega - Bluetooth ne morete izključiti Bluetooth iz sledilnika. Polar Loop je zgrešil to isto točko in prav tako ni storil vsega, kar bi bilo mogoče, da bi vzvratno inženirstvo, vendar je to še vedno dobro.
Na drugem koncu spektra je Acer Liquid Leap zgrešil devet od 11 točk. Pridobil je zasluge za hrambo podatkov v zaščitenem pomnilniku in delni kredit za zaščito notranje komunikacije; to je vse. Fitbit Charge je zgrešil osem varnostnih elementov, vključno z vsemi, povezanimi z zaščito komunikacije Bluetooth.
Ekipa AV-Test je o svojih ugotovitvah uradno obvestila vse prodajalce. Načrtujejo nadaljnje preiskave, ko bodo prodajalci imeli čas, da okrepijo svojo varnostno igro.