¿Su rastreador de actividad física está poniendo en riesgo su seguridad?

  • Harry James
  • 0
  • 4505
  • 60
Anuncio

Considerar de dónde van a filtrarse nuestros datos es una tarea difícil. Tomamos las precauciones necesarias en nuestros dispositivos, instalando software antivirus, ejecutando escaneos de malware y, con suerte, verificando dos y tres veces los correos electrónicos para detectar cualquier cosa sospechosa. Estos son solo algunos de los posibles vectores de ataque que nos esperan..

Los investigadores de seguridad han revelado que, aparte de nuestro “regular” dispositivos, una de las formas más nuevas de tecnología podría ser proporcionar a los atacantes un ángulo inesperado pero de fácil acceso para robar nuestros datos personales. Los rastreadores de estado físico han estado bajo el foco de seguridad recientemente después de que un informe técnico destacó una serie de fallas de seguridad serias en sus diseños, lo que teóricamente permitió a posibles atacantes interceptar sus datos personales.

Defectos fatales de aptitud

Los rastreadores de estado físico han visto un aumento sin precedentes en popularidad. 17 Los mejores gadgets de salud y estado físico para mejorar su cuerpo. 17 Los mejores artilugios de salud y estado físico para mejorar su cuerpo. Estas son solo algunas de las increíbles piezas del kit que podrás usar para que te sientas genial. a lo largo de los últimos años. Solo el cuarto trimestre de 2015 experimentó un aumento masivo del 197% en las ventas interanuales, de 7,1 millones a 21 millones de unidades. Analistas de mercado Parques Asociados estimar que el mercado global de rastreadores de actividad física seguirá creciendo, pasando de $ 2 mil millones en 2014 a $ 5,4 mil millones en 2019. Estas son ganancias significativas, lo que indica el número de usuarios que potencialmente se exponen a este vector de ataque previamente desconocido.

Organización canadiense de investigación sin fines de lucro Efecto abierto, y laboratorio de investigación interdisciplinaria Laboratorio Ciudadano, examinó ocho de los wearables de fitness más populares disponibles actualmente: el Apple Watch, el Basis Peak, el Fitbit Charge HR, el Garmin Vivosmart, el Jawbone UP 2, el Mio Fuse, el Withings Pulse O2 y el Xiaomi Mi Band.

El informe de investigación combinado buscó descubrir los pasos que las compañías tecnológicas están tomando para proteger y mantener la seguridad de sus datos. Si bien sabemos y entendemos que los rastreadores de actividad física recopilarán latidos del corazón, pasos, calorías y datos sobre el sueño, los investigadores exploraron qué sucede con esos datos cuando están en manos de los desarrolladores de dispositivos.

¿Qué datos se envían a un servidor remoto? ¿Cómo aseguran los datos las empresas tecnológicas? ¿Con quién se comparte? ¿Cómo hacen uso realmente las empresas de la información??

Los hallazgos clave incluyeron:

  • Siete de cada ocho dispositivos de seguimiento de actividad física emiten identificadores únicos persistentes (dirección de control de acceso de medios Bluetooth) que pueden exponer a sus usuarios a un seguimiento a largo plazo de su ubicación cuando el dispositivo no está emparejado y conectado a un dispositivo móvil.
  • Las aplicaciones Jawbone y Withings pueden explotarse para crear registros falsos de bandas de fitness. Dichos registros falsos ponen en tela de juicio la confiabilidad del uso de los datos del rastreador de ejercicios en casos judiciales y programas de seguros..
  • Las aplicaciones Garmin Connect (iPhone y Android) y la aplicación Withings Health Mate (Android) tienen vulnerabilidades de seguridad que permiten a un tercero no autorizado leer, escribir y eliminar datos de usuario.
  • Garmin Connect no emplea prácticas básicas de seguridad de transmisión de datos para sus aplicaciones iOS o Android y, en consecuencia, expone la información de estado físico a vigilancia o manipulación.

Identificadores únicos persistentes

La tecnología portátil emite una señal Bluetooth persistente. Ya sea un reloj inteligente o un rastreador de actividad física, esta señal se utiliza para comunicarse constantemente con su teléfono inteligente. Su comunicación con el dispositivo externo se mantiene utilizando una dirección MAC (Control de acceso a medios) ¿Qué es una dirección MAC y se puede usar para proteger su red doméstica? [Explica MakeUseOf] ¿Qué es una dirección MAC y puede usarse para proteger su red doméstica? [Explica MakeUseOf] La estructura y la gestión de la red tienen su propia jerga. Es probable que algunos de los términos arrojados ya le resulten familiares. Ethernet y Wi-Fi son conceptos en gran medida obvios, aunque puede requerir un poco ..., identificando de manera única el rastreador de actividad física.

En el contexto de los rastreadores de actividad física, el mantenimiento de la seguridad de los datos personales exige que estas direcciones sean aleatorizadas para garantizar que el usuario no pueda ser rastreado e identificado por la dirección MAC. Las balizas Bluetooth, utilizadas con frecuencia creciente en los centros comerciales para crear publicidad móvil dirigida, pueden rastrear y perfilar esos dispositivos usando una sola dirección MAC (también pueden ser construidos por cualquier persona con una computadora compacta y adecuada. Construir un iBeacon DIY con una construcción Raspberry Pi un iBeacon de bricolaje con una Raspberry Pi Los anuncios dirigidos a un usuario en particular que camina por un centro metropolitano son cosas de futuros distópicos, pero ese no es un futuro distópico en absoluto: la tecnología ya está aquí). De hecho, de los dispositivos probados, solo el Apple Watch aleatorizó su dirección MAC “en un intervalo de aproximadamente 10 minutos” para proteger la identidad de su usuario.

Con la dirección MAC persistente registrada, la ubicación del usuario podría rastrearse de baliza a baliza. Si un centro comercial decide recopilar información sobre la ubicación del usuario durante su visita de compras, los datos podrían venderse a una agencia de marketing u otro agente de datos, sin notificar primero al usuario. Si un único agente de datos puede comprar varios perfiles, la información se puede recopilar para crear perfiles publicitarios específicos sofisticados, que se activan cada vez que el usuario (y su identificador de dispositivo único) ingresan al edificio.

Las aplicaciones son igual de malas

Cada rastreador de actividad física viene con su propia aplicación de monitoreo, que captura la gran cantidad de datos relacionados con la condición física y la traduce en una agradable representación visual de las acciones de los usuarios. Sin embargo, se ha descubierto que las aplicaciones mismas filtran información personal en múltiples ubicaciones de transmisión.

Por ejemplo, uno esperaría que cualquier transmisión de datos personales se encripte utilizando HTTPS como mínimo Qué es HTTPS y cómo habilitar conexiones seguras por defecto Qué es HTTPS y cómo habilitar conexiones seguras por defecto Las preocupaciones de seguridad se están extendiendo por todas partes y han llegado a la vanguardia de la mayoría de la mente de todos. Términos como antivirus o cortafuegos ya no son vocabulario extraño y no solo se entienden, sino que también son utilizados por ...; Garmin Connect no pudo hacer eso, dejando los datos del usuario expuestos pasivamente a un posible espía.

De manera similar, aunque Bellabeat Leaf y Withings Health Mate se comunican con servidores remotos utilizando HTTPS, ambas compañías enviaron correos electrónicos de texto sin formato a los usuarios para confirmar sus credenciales de registro, dejando a los usuarios abiertos a ataques de intermediarios. Cualquier atacante con un conocimiento práctico de Bellabeat o Withings API podría acceder a una amplia gama de información personal sobre estado físico en minutos. Esta forma de ataque también podría usarse para enviar datos maliciosos o falsos al dispositivo portátil o al teléfono del usuario..

Manipulación de datos

Tres de las aplicaciones de seguimiento de actividad física observadas “eran vulnerables a que un usuario motivado creara datos de aptitud falsos generados para su propia cuenta,” engañar a los servidores de la empresa para que acepten datos falsos. Efecto abierto y Laboratorio Ciudadano creó varias aplicaciones diseñadas para engañar a los servidores del rastreador de ejercicios para que acepten información falsa, con Bellabeat LEAF, Jawbone UP y Withings Health Mate en breve.

“Enviamos una solicitud a Jawbone indicando que nuestro usuario de prueba tomó diez mil millones de pasos en un solo día”

Su aplicación distribuyó uniformemente los tiempos de los pasos en intervalos fijos durante un período de tiempo deseado, creando una distribución artificial de pasos. Los investigadores concluyeron que un enfoque más sofisticado “Asignar pasos al azar para establecer una distribución más realista” para escapar aún más de la detección.

Por qué es esto un problema?

Los rastreadores de actividad física pueden mantener un flujo continuo de recopilación de datos personales ¿Cuántos de sus datos personales podrían rastrear los dispositivos inteligentes? ¿Qué cantidad de sus datos personales podrían rastrear los dispositivos inteligentes? Los problemas de privacidad y seguridad de la casa inteligente siguen siendo tan reales como siempre. Y aunque amamos la idea de la tecnología inteligente, esta es solo una de las muchas cosas a tener en cuenta antes de bucear ... Los vectores comunes de recolección de datos incluyen pasos, latidos del corazón, patrones de sueño, elevación, geolocalizaciones, calidad de actividades y tipos de actividades..

Algunos de los rastreadores de actividad física alientan a sus usuarios a participar en actividades sociales o físicas adicionales, como especificar alimentos para el conteo y análisis de calorías, el estado de ánimo personal en momentos específicos del día (también en relación con las actividades y el consumo de alimentos), para registrar su estado físico. objetivos 10 plantillas de Excel para rastrear su salud y estado físico 10 plantillas de Excel para rastrear su salud y estado físico y rastrear el progreso a lo largo del tiempo Rastree áreas clave de su vida en 1 minuto con Google Forms Rastree áreas clave de su vida en 1 minuto con Google Forms Es sorprendente lo que puede aprender sobre usted cuando se toma el tiempo de prestar atención a sus hábitos y comportamientos diarios. Use los versátiles formularios de Google para seguir su progreso con objetivos importantes. , o para competir contra otros entusiastas del ejercicio físico en entornos de tablero con estilo de redes sociales gamificadas. Las mejores aplicaciones de acondicionamiento social para entrenar con amigos y familiares Las mejores aplicaciones de acondicionamiento social para ejercitarse con amigos y familiares. formas de rendir cuentas a tus amigos, pero necesitas encontrar la aplicación que funcione mejor para ti! .

Las cuestiones planteadas por Efecto abierto y Laboratorio Ciudadano ilustran los peligros de depender de los rastreadores de actividad física para proporcionar datos personales confiables en una variedad de situaciones. Los datos del rastreador de actividad física se han utilizado para asegurar pólizas de seguro o representar el progreso realizado con problemas médicos, pero vemos que los datos podrían ser falsificados.

Además, ¿estos problemas de datos hacen cuestionable la propia naturaleza de estas compañías de tecnología de rastreadores de estado físico? ¿Cómo se traducen estos pobres intentos de protección de datos en sus otros productos? El problema no está solo relacionado con los rastreadores de actividad física, y tanto los ciudadanos como los reguladores deben hacer más para garantizar que los datos de los usuarios estén protegidos en todo momento, para no encontrar industrias enteras socavadas por su aparente falta de cuidado y discreción con los datos privados..

Qué sigue?

Los resultados del informe son claros: mayor seguridad basada en las recomendaciones de Efecto abierto y Laboratorio Ciudadano. La seguridad personal y privada es grave, y debemos abordar los problemas a medida que llegan. Pero no solo se necesita seguridad mejorada. Los usuarios del rastreador de actividad física deben comprender a dónde se envían sus datos, dónde se almacenan y a qué otras partes tienen acceso..

La responsabilidad de las empresas de tecnología es comunicar a sus usuarios toda la profundidad de la vigilancia técnica que ellos también han aceptado, ya sea que se den cuenta o no, junto con sus riesgos potenciales..

¿Es hora de tirar tu rastreador de ejercicios? Probablemente no, especialmente si tiene un Apple Watch No The Apple Watch: 9 Otros dispositivos portátiles compatibles con iPhone No The Apple Watch: 9 Otros dispositivos portátiles compatibles con iPhone El anuncio del Apple Watch fue una gran noticia, pero está lejos de ser el único dispositivo portátil diseñado para ser usado con un iPhone. . A pesar de las reacciones encontradas hacia los hallazgos del informe técnico de los fabricantes de rastreadores de ejercicios, es poco probable que estas vulnerabilidades existan por mucho tiempo..

O, al menos, podemos esperar que no existan por mucho tiempo.

¿Estás preocupado por tu rastreador de ejercicios? ¿Has perdido datos a través de la tecnología portátil? ¿Que pasó? Háganos saber a continuación!




Nadie ha comentado sobre este artículo todavía.

Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.