Is uw fitnesstracker uw beveiliging in gevaar?
Het is een moeilijke taak om te overwegen waar onze gegevens naartoe lekken. We nemen de nodige voorzorgsmaatregelen op onze apparaten, installeren antivirussoftware, voeren malwarescans uit en hopelijk e-mails dubbel en drie keer controleren op verdachte dingen. Dit zijn slechts enkele van de potentiële aanvalsvectoren die op ons wachten.
Beveiligingsonderzoekers hebben dat onthuld naast onze “regelmatig” apparaten, een van de nieuwste vormen van technologie zou aanvallers kunnen voorzien van een onverwachte maar gemakkelijk toegankelijke invalshoek om onze persoonlijke gegevens te stelen. Fitness trackers zijn recent in de schijnwerpers gekomen nadat een technisch rapport een serie ernstige beveiligingsfouten in hun ontwerpen had gemarkeerd, waardoor potentiële aanvallers theoretisch uw persoonlijke gegevens konden onderscheppen.
Fatale fitnessgebreken
Fitnesstrackers hebben een ongekende populariteitstoename gezien 17 Beste gezondheids- en fitnessgadgets om uw lichaam te verbeteren 17 De beste gezondheids- en fitnessgadgets om uw lichaam te verbeteren De afgelopen paar jaar is de innovatie rond gezondheids- en fitnessgadgets explosief toegenomen. Hier zijn slechts enkele van de verbazingwekkende onderdelen die je kunt gebruiken om je goed te voelen. Lees meer gedurende de laatste paar jaar. Alleen al in het 4e kwartaal van 2015 steeg de verkoop op jaarbasis met 197%, van 7,1 miljoen naar 21 miljoen stuks. Marktanalisten Parks Associates schatten dat de wereldwijde fitness tracker markt zal blijven groeien, van $ 2 miljard in 2014 naar $ 5,4 miljard in 2019. Dit zijn aanzienlijke winsten, wat aangeeft dat het aantal gebruikers zich mogelijk blootstelt aan deze tot nu toe onbekende aanvalsvector.
Canadese non-profit onderzoeksorganisatie Open Effect, en interdisciplinair onderzoekslaboratorium Citizen Lab, onderzocht acht van de meest populaire fitness wearables die momenteel beschikbaar zijn: de Apple Watch, de Basis Peak, de Fitbit Charge HR, de Garmin Vivosmart, de Jawbone UP 2, de Mio Fuse, de Withings Pulse O2 en de Xiaomi Mi Band.
Het gecombineerde onderzoeksrapport probeerde de stappen te ontdekken die technologiebedrijven ondernemen om uw gegevensbeveiliging te beschermen en te onderhouden. Hoewel we weten en begrijpen dat fitness trackers hartslag, voetstappen, calorieën en slaapgegevens verzamelen, hebben de onderzoekers onderzocht wat er met die gegevens gebeurt wanneer het in handen is van de apparaatontwikkelaars..
Welke gegevens worden naar een externe server verzonden? Hoe beveiligen de technologiebedrijven de gegevens? Met wie wordt dit gedeeld? Hoe maken de bedrijven daadwerkelijk gebruik van de informatie?
Belangrijkste bevindingen waren onder meer:
- Zeven van de acht fitness-volgapparatuur zenden blijvende unieke identificatiegegevens (Bluetooth Media Access Control-adres) uit die hun dragers kunnen blootstellen aan het langdurig volgen van hun locatie wanneer het apparaat niet is gekoppeld en verbonden met een mobiel apparaat.
- Jawbone en Withings-applicaties kunnen worden gebruikt om nep-bandrecords voor fitness te creëren. Dergelijke valse records stellen de betrouwbaarheid in twijfel van dat fitnessgebruiker gegevensgebruik in rechtszaken en verzekeringsprogramma's.
- De toepassingen Garmin Connect (iPhone en Android) en Withings Health Mate (Android) hebben beveiligingsrisico's waardoor onbevoegde derden gebruikersgegevens kunnen lezen, schrijven en verwijderen..
- Garmin Connect maakt geen gebruik van standaardpraktijken voor gegevensoverdrachtbeveiliging voor zijn iOS- of Android-toepassingen en stelt daarom fitnessinformatie bloot aan toezicht of manipulatie.
Persistente unieke identificatiegegevens
Wearable-technologie zendt een blijvend Bluetooth-signaal uit. Of het nu smartwatch of fitness-tracker is, dit signaal wordt gebruikt om consistent met uw smartphone te communiceren. Hun communicatie met het externe apparaat wordt onderhouden met behulp van een MAC (Media Access Control) adres Wat is een MAC-adres en kan het worden gebruikt om uw thuisnetwerk te beveiligen? [MakeUseOf Explains] Wat is een MAC-adres en kan het worden gebruikt om uw thuisnetwerk te beveiligen? [MakeUseOf Explains] Netwerkstructuur en -beheer hebben hun eigen jargon. Sommige van de termen die erin worden gegooid, zullen u waarschijnlijk al bekend voorkomen. Ethernet en Wi-Fi zijn grotendeels voor de hand liggende concepten, hoewel het misschien een beetje nodig heeft ... Lees meer, unieke identificatie van de fitness-tracker.
In de context van fitnesstrackers vereist het onderhoud van persoonlijke gegevens dat deze adressen willekeurig worden verdeeld om ervoor te zorgen dat de gebruiker niet kan worden gevolgd en geïdentificeerd door het MAC-adres. Bluetooth-bakens, die in winkelcentra steeds vaker worden gebruikt om gerichte mobiele advertenties te maken, kunnen die apparaten volgen en profileren met behulp van één MAC-adres (ze kunnen ook worden gebouwd door iedereen met een geschikte, compacte computer. Build a DIY iBeacon with a Raspberry Pi Build een DIY iBeacon met een Raspberry Pi Reclame gericht op een bepaalde gebruiker die door een grootstedelijk centrum loopt, is het spul van dystopische toekomst. Maar dat is helemaal geen dystopische toekomst: de technologie is er al. Lees meer). Inderdaad, van de geteste apparaten heeft alleen de Apple Watch het MAC-adres gerandomiseerd “met een interval van ongeveer 10 minuten” om de identiteit van de gebruiker te beschermen.
Met het aanhoudende MAC-adres dat is vastgelegd, kan de locatie van de gebruiker mogelijk worden gevolgd van beacon tot baken. Als een winkelcentrum tijdens zijn winkelbezoek besluit informatie over de gebruikerslocatie te verzamelen, kunnen de gegevens worden verkocht aan een marketingbureau of een andere gegevensbroker, zonder eerst de gebruiker hiervan op de hoogte te stellen. Als een enkele gegevensbroker meerdere profielen kan kopen, kan informatie worden verzameld om geavanceerde, gerichte advertentieprofielen te maken, die worden geactiveerd telkens wanneer de gebruiker (en diens unieke apparaat-ID) het gebouw binnenkomt.
De apps zijn net zo slecht
Elke fitness-tracker wordt geleverd met een eigen monitoring-app, die de overvloed aan fitnessgerelateerde gegevens vastlegt en vertaalt in een mooie visuele weergave van de acties van de gebruiker. Het is echter gebleken dat de apps zelf persoonlijke informatie lekken, op meerdere verzendlocaties.
U zou bijvoorbeeld verwachten dat elke overdracht van persoonlijke gegevens versleuteld wordt met behulp van HTTPS. Wat is HTTPS en hoe kunt u veilige verbindingen per standaard inschakelen? Wat is HTTPS en hoe kunt u beveiligde verbindingen activeren Standaard beveiligingsproblemen verspreiden zich wijd en hebben de voorhoede bereikt van de meeste mensen. Termen als antivirus of firewall zijn niet langer vreemd vocabulair en worden niet alleen begrepen, maar ook gebruikt door ... Lees meer; de Garmin Connect deed dat zelfs niet, waardoor gebruikersgegevens passief werden blootgesteld aan een potentiële afluisteraar.
Evenzo, hoewel de Bellabeat Leaf en Withings Health Mate communiceren met servers op afstand via HTTPS, hebben beide bedrijven e-mails in platte tekst naar gebruikers gestuurd om hun aanmeldingsreferenties te bevestigen, zodat gebruikers openstaan voor man-in-the-middle-aanvallen. Elke aanvaller met praktische kennis van de Bellabeat of Withings API kan binnen enkele minuten toegang krijgen tot een breed scala aan persoonlijke fitnessinformatie. Deze vorm van aanvallen kan ook worden gebruikt om kwaadwillende of valse gegevens naar de draagbare telefoon of de telefoon van de gebruiker te sturen.
Data Tampering
Drie van de fitness-tracker-apps waargenomen “waren kwetsbaar voor een gemotiveerde gebruiker die voor zijn eigen rekening vervalste fitnessgegevens creëerde,” bedrijfsservers troubleshooten om valse gegevens te accepteren. Open Effect en Citizen Lab creëerde verschillende applicaties ontworpen om de fitnesstrackerservers te misleiden tot het accepteren van valse informatie, met Bellabeat LEAF, Jawbone UP en Withings Health Mate op de proppen.
“We hebben een aanvraag bij Jawbone ingediend waarin stond dat onze testgebruiker op één dag tien miljard stappen heeft gezet”
Hun toepassing verdeelde gelijkmatig staptijden in vaste intervallen over een gewenst tijdsbestek, waardoor een kunstmatige verdeling van stappen werd gecreëerd. De onderzoekers concludeerden dat een meer gesofisticeerde aanpak zou werken “willekeurig stappen toewijzen om een realistischer uitziende verdeling tot stand te brengen” om verder te ontsnappen aan detectie.
Waarom is dit een probleem?
Fitness trackers kunnen een voortdurende stroom van het verzamelen van persoonlijke gegevens bijhouden Hoeveel van uw persoonlijke gegevens kunnen slimme apparaten volgen? Hoeveel van uw persoonlijke gegevens kunnen slimme apparaten volgen? De privacy en veiligheid van smart home zijn nog steeds zo reëel als altijd. En hoewel we houden van het idee van slimme technologie, is dit slechts een van de vele dingen waar je op moet letten voordat je gaat duiken ... Lees meer. Gemeenschappelijke gegevensverzamelingsvectoren omvatten voetstappen, hartslag, slaappatronen, hoogte, geolocaties, kwaliteit van activiteiten en soorten activiteiten.
Sommige fitnesstrackers moedigen hun gebruikers aan deel te nemen aan aanvullende fitness- of sociale activiteiten, zoals het specificeren van voedsel voor calorische telling en analyse, persoonlijke stemming op specifieke tijden van de dag (ook met betrekking tot activiteiten en voedselconsumptie), om hun conditie te loggen doelen 10 Excel-sjablonen om uw gezondheid en fitheid te volgen 10 Excel-sjablonen om uw gezondheid en fitheid te volgen Lees meer en houd de voortgang bij over de tijd Volg belangrijke gebieden van uw leven in 1 minuut met Google Formulieren Volg belangrijke gebieden van uw leven in 1 minuut met Google Formulieren Het is verbazingwekkend wat je over jezelf kunt leren als je de tijd neemt om aandacht te besteden aan je dagelijkse gewoonten en gedrag. Gebruik de veelzijdige Google Formulieren om uw voortgang bij te houden met belangrijke doelen. Meer lezen, of om te concurreren met andere fitnessfanaten in gamified, in sociale media gestileerde dashboardomgevingen De beste sociale fitness-apps om met vrienden en familie te werken De beste sociale fitness-apps om met vrienden en familie te werken Social media-fitness-apps kunnen een van de beste manieren om verantwoording af te leggen aan je vrienden, maar je moet de app vinden die het beste bij jou past! Lees verder .
De problemen opgeworpen door Open Effect en Citizen Lab illustreren de gevaren van het vertrouwen op fitness-trackers om betrouwbare persoonlijke gegevens te verstrekken in verschillende situaties. Fitness trackergegevens zijn gebruikt om verzekeringspolissen te beveiligen of om vooruitgang te boeken met medische problemen, maar we zien dat de gegevens gemakkelijk kunnen worden vervalst.
Bovendien maken deze gegevenskwesties de aard van deze fitness tracker technologiebedrijven twijfelachtig? Hoe vertalen deze slechte pogingen tot gegevensbescherming zich naar hun andere producten? Het probleem is niet alleen gebonden aan fitness-trackers, en er moet meer worden gedaan door zowel burgers als regelgevers om ervoor te zorgen dat gebruikersgegevens te allen tijde worden beschermd, anders zullen we hele industrieën ondermijnd vinden door hun schijnbare gebrek aan zorg en discretie met privégegevens..
Wat nu?
De bevindingen van het rapport zijn duidelijk: meer veiligheid gebaseerd op de aanbevelingen van Open Effect en Citizen Lab. Persoonlijke en private beveiliging is serieus en we moeten problemen aanpakken zodra ze aankomen. Maar het is niet alleen de verbeterde beveiliging die nodig is. Gebruikers van fitness-trackers moeten weten waar hun gegevens naartoe worden gestuurd, waar deze worden opgeslagen en welke andere partijen er toegang toe hebben.
Het is de taak van de technologiebedrijven om met hun gebruikers te communiceren over de volledige diepte van technisch toezicht dat zij hebben aanvaard, of ze het nu beseffen of niet, samen met de potentiële risico's.
Is het tijd om je fitnesstracker weg te gooien? Waarschijnlijk niet, vooral als je een Apple horloge hebt, niet de Apple Watch: 9 Andere iPhone-vriendelijke wearables Niet de Apple Watch: 9 Andere iPhone-vriendelijke wearables De aankondiging van de Apple Watch was groot nieuws, maar het is verre van het enige draagbare apparaat ontworpen om te worden gebruikt met een iPhone. Lees verder . Ondanks gemengde reacties op de bevindingen van het technische rapport van de fitness tracker fabrikanten, is het onwaarschijnlijk dat deze kwetsbaarheden al lang bestaan.
Of we kunnen op zijn minst hopen dat ze niet lang zullen bestaan.
Maak je je zorgen over je fitnesstracker? Heb je gegevens verloren door draagbare technologie? Wat is er gebeurd? Laat het ons hieronder weten!
Ontdek meer over: Fitness, online beveiliging, draagbare technologie.