Fitness Takipçiniz Güvenliğinizi Risk Altına Koyar mı?

İlan

Verilerimizin nereden sızacağını düşünmek zor bir iştir. Cihazlarımız genelinde gerekli önlemleri alıyor, antivirüs yazılımı yüklüyor, kötü amaçlı yazılım taramaları yapıyor ve umarım şüpheli herhangi bir şey için e-postaları iki ve üç kez kontrol ediyoruz. Bunlar bizi bekleyen potansiyel saldırı vektörlerinden sadece birkaçı.

Güvenlik araştırmacıları, en yeni biçimlerden biri olan "normal" cihazlarımızın yanı sıra teknoloji saldırganlara beklenmedik ama kolayca erişilebilen bir açı sağlayarak kişisel veri. Fitness takipçileri, bir dizi teknik raporun tasarımlarında ciddi güvenlik kusurları, teorik olarak potansiyel saldırganların kişisel veri.

Ölümcül Spor Kusurları

Fitness takipçileri gördük popülerlikte eşi görülmemiş bir artış Vücudunuzu Geliştirmek İçin En İyi 17 Sağlık ve Fitness AletiSon birkaç yılda, sağlık ve fitness aletlerine ilişkin yenilikler patladı. İşte kendinizi harika hissetmek için kullanabileceğiniz muhteşem kit parçalarından sadece birkaçı. Daha fazla oku son birkaç yıl boyunca. Sadece 2015 yılının dördüncü çeyreği yıllık satışlarda% 197'lik artışla 7.1 milyondan 21 milyon adede yükseldi. Piyasa analistleri

Parks Associates küresel kondisyon izleyici pazarını tahmin edebilir büyümeye devam edecek, 2014 yılında 2 milyar dolardan 2019'da 5,4 milyar dolara yükseldi. Bunlar, potansiyel olarak kendilerini daha önce bilinmeyen bu saldırı vektörüne maruz bırakan kullanıcıların sayısını gösteren önemli kazançlardır.

Kanada kar amacı gütmeyen araştırma kuruluşu Açık Etkisi, ve disiplinlerarası araştırma laboratuvarı Vatandaş Laboratuvarı, şu anda mevcut olan en popüler fitness giyilebilir cihazlarından sekizini inceledi: Apple Watch, Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, Mio Sigorta, Withings Pulse O2 ve Xiaomi Mi Grup.

birleştirilmiş araştırma raporu teknoloji şirketlerinin veri güvenliğinizi korumak ve sürdürmek için attığı adımları keşfetmeye çalıştı. Fitness izleyicilerinin kalp atışlarını, ayak seslerini, kalorileri ve uykuyu toplayacağını bildiğimiz ve anladığımız halde araştırmacılar, cihazın elinde olduğunda bu verilere ne olduğunu araştırdı geliştiricileri.

Uzak bir sunucuya hangi veriler gönderilir? Teknoloji şirketleri verileri nasıl güvence altına alıyor? Kiminle paylaşılıyor? Şirketler bu bilgileri gerçekten nasıl kullanıyor?

Temel bulgular şunları içeriyordu:

• Sekiz fitness takip cihazından yedisi, kalıcı benzersiz tanımlayıcılar (Bluetooth Medya Erişim Kontrolü adresi) yayar cihaz bir mobil cihazla eşleşmediğinde ve bir mobil cihaza bağlı olmadığında kullanıcılarını konumlarını uzun süreli izlemeye maruz bırakabilir cihaz.
• Sahte fitness grubu kayıtları oluşturmak için Jawbone ve Withings uygulamalarından faydalanılabilir. Bu tür sahte kayıtlar, mahkeme davalarında ve sigorta programlarında bu fitness takipçisi verilerinin kullanımının güvenilirliğini sorgulamaktadır.
• Garmin Connect uygulamaları (iPhone ve Android) ve Withings Health Mate (Android) uygulaması yetkisiz bir üçüncü tarafın kullanıcıyı okumasını, yazmasını ve silmesini sağlayan güvenlik açıklarına sahip olmak veri.
• Garmin Connect, iOS veya Android uygulamaları için temel veri iletim güvenliği uygulamalarını kullanmaz ve sonuç olarak fitness bilgilerini gözetim veya kurcalamaya maruz bırakır.

Kalıcı Benzersiz Tanımlayıcılar

Giyilebilir teknoloji, kalıcı bir Bluetooth sinyali yayar. Akıllı saat veya fitness takip cihazı olsun, bu sinyal akıllı telefonunuzla sürekli iletişim kurmak için kullanılır. Harici cihazla iletişimleri MAC (Medya Erişim Kontrolü) Adresi kullanılarak korunur IP ve MAC Adresi: Ne İşe Yarar?İnternet normal posta servisinden çok farklı değil. Ev adresi yerine IP adreslerimiz var. İsimler yerine MAC adreslerimiz var. Birlikte, verileri kapınıza getirir. İşte ... Daha fazla oku , fitness izleyiciyi benzersiz bir şekilde tanımlamak.

Uygunluk izleyicileri bağlamında, kişisel veri güvenliği bakımı, kullanıcının izleyici olamamasını ve MAC Adresi tarafından tanımlanamamasını sağlamak için bu adreslerin rasgele seçilmesini gerektirir. Hedeflenen mobil reklamcılık oluşturmak için alışveriş merkezlerinde artan sıklıkta kullanılan Bluetooth işaretçileri, bu cihazları tek bir MAC Adresi kullanarak izleyebilir ve profil oluşturabilir (ayrıca uygun ve kompakt bir bilgisayarı olan herkes tarafından üretilmiştir Raspberry Pi ile DIY iBeacon oluşturunBir metropol merkezinden geçen belirli bir kullanıcıyı hedefleyen reklamlar, distopik geleceklerdir. Ama bu hiç de distopik bir gelecek değil: teknoloji zaten burada. Daha fazla oku ). Gerçekten de, test edilen cihazlardan sadece Apple Watch, kullanıcı kimliğini korumak için MAC Adresini “yaklaşık 10 dakikalık aralıklarla” rastgele seçti.

Kalıcı MAC Adresi günlüğe kaydedildiğinde, kullanıcının konumu işaret işaretinden işaret işaretine kadar izlenebilir. Bir alışveriş merkezi, alışveriş ziyaretleri sırasında kullanıcı konum bilgilerini toplamaya karar verirse, veriler önce kullanıcıyı bilgilendirmeksizin bir pazarlama ajansına veya başka bir veri komisyoncusuna satılabilir. Tek bir veri komisyoncusu birden fazla profil satın alabiliyorsa, karmaşık bilgiler oluşturmak için bilgiler harmanlanabilir kullanıcının (ve benzersiz cihaz tanımlayıcısının) her girişinde etkinleştirilen hedefli reklamcılık profilleri bina.

Uygulamalar Kadar Kötü

Her fitness takipçisi, fitness ile ilgili verilerin bolluğunu yakalayan ve kullanıcıların eylemlerinin güzel bir görsel tasvirine çeviren kendi izleme uygulaması ile birlikte gelir. Bununla birlikte, uygulamaların kendilerinin birden fazla iletim noktasında kişisel bilgi sızdırdığı bulunmuştur.

Örneğin, herhangi bir kişisel verinin iletiminin en azından HTTPS kullanılarak şifrelenmiş HTTPS Nedir ve Varsayılan Başına Güvenli Bağlantıları EtkinleştirmeGüvenlik kaygıları geniş bir alana yayılıyor ve herkesin zihninin ön saflarına ulaştı. Virüsten koruma veya güvenlik duvarı gibi terimler artık garip bir kelime dağarcığı değildir ve yalnızca anlaşılmakla kalmaz, aynı zamanda ... Daha fazla oku ; Garmin Connect bunu bile başaramadı ve kullanıcı verilerini pasif bir şekilde gizli dinleyiciye açık bıraktı.

Benzer şekilde, Bellabeat Leaf ve Withings Health Mate HTTPS kullanan uzak sunucularla iletişim kursa da, her ikisi de şirketler, kayıt kimlik bilgilerini onaylamak için kullanıcılara düz metin e-postalar göndererek kullanıcıları ortadaki insana açık bıraktı saldırılar. Bellabeat veya Withings API hakkında bilgili herhangi bir saldırgan, çok çeşitli kişisel uygunluk bilgilerine dakikalar içinde erişebilir. Bu saldırı şekli, kötü niyetli veya yanlış verileri giyilebilir cihaza veya kullanıcının telefonuna da aktarmak için kullanılabilir.

Veri Kurcalama

Gözlemlenen fitness takip uygulamalarından üçü, motive olmuş bir kullanıcının kendi hesapları için yanlış oluşturulmuş fitness verileri oluşturmasına karşı savunmasızdı ve şirket sunucularını sahte verileri kabul etmek için kandırdı. Açık Etkisi ve Vatandaş Laboratuvarı Bellabeat LEAF, Jawbone UP ve Withings Health Mate kısa bir süre sonra fitness takip sunucularını yanlış bilgileri kabul etmek için kandırmak için tasarlanmış çeşitli uygulamalar yarattı.

“Jawbone'a test kullanıcılarımızın tek bir günde on milyar adım attığını belirten bir talep gönderdik”

Uygulamaları, adım zamanlamalarını, istenen bir zaman çerçevesi boyunca sabit aralıklara eşit olarak dağıtarak, adımların yapay bir dağılımını yarattı. Araştırmacılar, daha gelişmiş bir yaklaşımın daha fazla kaçış tespiti için “daha ​​gerçekçi görünümlü bir dağıtım oluşturmak için rastgele adımlar atayacağı” sonucuna vardı.

Bu Neden Bir Sorun?

Fitness takipçileri sürekli kişisel veri toplama akışını sürdürmek Akıllı Cihazlarınız Ne Kadar Kişisel Verilerinizi Takip Edebilir?Akıllı ev gizliliği ve güvenlik endişeleri her zamanki gibi gerçek. Ve akıllı teknoloji fikrini sevsek de, bu dalıştan önce dikkat edilmesi gereken birçok şeyden biri ... Daha fazla oku . Yaygın veri toplama vektörleri arasında ayak sesleri, kalp atışı, uyku düzenleri, yükseklik, coğrafi konumlar, etkinlik kalitesi ve etkinlik türleri bulunur.

Bazı fitness takipçileri, kullanıcılarını yiyecek belirleme gibi ek fitness veya sosyal etkinliklere katılmaya teşvik eder kalori sayımı ve analizi, günün belirli saatlerinde kişisel aktivite (aktiviteler ve gıda ile ilgili olarak) tüketim), fitness hedeflerini kaydetmek Sağlık ve Zindeliğinizi Takip Etmek için 10 Excel Şablonu Daha fazla oku ve zaman içindeki ilerlemeyi izle Google Formlar ile Yaşamınızın Önemli Alanlarını 1 Dakikada İzleyinGünlük alışkanlıklarınıza ve davranışlarınıza dikkat etmek için zaman ayırdığınızda kendiniz hakkında neler öğrenebileceğiniz şaşırtıcı. İlerlemenizi önemli hedeflerle izlemek için çok yönlü Google Formlar'ı kullanın. Daha fazla oku veya diğer fitness tutkunlarına karşı rekabet etmek oyunlaştırılmış sosyal medya tarzı gösterge paneli ortamları Arkadaşlarınız ve Ailenizle Egzersiz Yapmak İçin En İyi Sosyal Fitness UygulamalarıSosyal medya fitness uygulamaları arkadaşlarınıza karşı sorumlu olmanın en iyi yollarından biri olabilir, ancak sizin için en uygun uygulamayı bulmanız gerekir! Daha fazla oku .

Tarafından gündeme getirilen konular Açık Etkisi ve Vatandaş Laboratuvarı çeşitli durumlarda güvenilir kişisel veriler sağlamak için fitness takipçilerine güvenmenin tehlikelerini gösterin. Fitness izleyici verileri, sigorta poliçelerini güvence altına almak veya tıbbi sorunlarla ilgili ilerlemeyi temsil etmek için kullanılmıştır, ancak verilerin kolayca tahrif edilebileceğini görüyoruz.

Ayrıca, bu veri sorunları bu fitness takip teknolojisi şirketlerinin doğasını tartışmalı hale getiriyor mu? Veri koruma konusundaki bu zayıf girişimler diğer ürünlerine nasıl tercüme edilir? Sorun sadece fitness takipçilerine bağlı değildir ve kullanıcı verilerini sağlamak için hem vatandaşlar hem de düzenleyiciler tarafından daha fazlası yapılmalıdır. Tüm endüstrileri, özel sektörle ilgilenmedikleri ve takdir etmedikleri için zayıflamış bulursak, veri.

Sıradaki ne?

Rapor bulguları açıktır: Açık Etkisi ve Vatandaş Laboratuvarı. Kişisel ve özel güvenlik ciddidir ve sorunları gelir gelmez ele almalıyız. Ancak ihtiyaç duyulan sadece gelişmiş güvenlik değildir. Kondisyon takipçisi kullanıcılarının, verilerinin nereye gönderildiğini, nerede depolandığını ve diğer tarafların bu verilere erişebileceğini anlamalıdır.

Kullanıcıların teknik derinliği ile iletişim kurmak teknoloji şirketleri üzerinde fark etseler de etmeseler de, edindikleri gözetim ve potansiyeli riske atar.

Fitness takipçinizi atmanın zamanı geldi mi? Muhtemelen değil, özellikle Apple Watch'unuz varsa Apple Watch Değil: Diğer iPhone Dostu 9 GiyilebilirApple Watch'un duyurusu büyük bir haberdi, ancak bir iPhone ile kullanılmak üzere tasarlanmış tek giyilebilir cihazdan çok uzak. Daha fazla oku . Fitness takip üreticilerinin teknik rapor bulgularına yönelik karışık tepkilere rağmen, bu güvenlik açıklarının uzun süre var olması muhtemel değildir.

Veya en azından uzun süre var olmayacaklarını ümit edebiliriz.

Fitness takipçiniz hakkında endişeli misiniz? Giyilebilir teknoloji sayesinde veri kaybettiniz mi? Ne oldu? Aşağıda bize bildirin!