Page d'accueil Sécurité Votre Fitness Tracker met-il votre sécurité en péril?

Votre Fitness Tracker met-il votre sécurité en péril?

  • Mark Lucas
  • 0
  • 5053
  • 1477
Publicité

Il est difficile de déterminer d'où proviendront nos données. Nous prenons les précautions nécessaires sur tous nos appareils, en installant un logiciel antivirus, en exécutant des analyses de logiciels malveillants et, espérons-le, en vérifiant deux ou trois fois les courriels pour détecter tout élément suspect. Ce ne sont que quelques exemples des vecteurs d’attaque potentiels qui nous attendent..

Les chercheurs en sécurité ont révélé que, mis à part notre “régulier” dispositifs, une des technologies les plus récentes pourrait fournir aux attaquants un angle inattendu, mais facilement accessible, pour voler nos données personnelles. Les traqueurs de fitness ont récemment été sous le feu des projecteurs en matière de sécurité après qu'un rapport technique ait mis en évidence une série de graves problèmes de sécurité dans leurs conceptions, permettant en théorie à des attaquants potentiels d'intercepter vos données personnelles..

Fatal Fitness Flaws

Les trackers de fitness ont connu une augmentation sans précédent de leur popularité 17 Meilleurs gadgets de santé et de remise en forme pour améliorer votre corps 17 Meilleurs gadgets de santé et de Fitness pour améliorer votre corps Ces dernières années, les innovations autour des gadgets de santé et de remise en forme ont explosé. Voici quelques-uns des outils incroyables que vous pourrez utiliser pour vous garder en pleine forme. au cours des dernières années. Le 4ème trimestre de 2015 a vu à lui seul une augmentation massive de 197% de ses ventes, passant de 7,1 millions à 21 millions d'unités. Analystes de marché Associés des parcs estime que le marché mondial des suiveurs de fitness continuera de croître, passant de 2 milliards de dollars en 2014 à 5,4 milliards de dollars en 2019. Il s'agit de gains importants, indiquant le nombre d'utilisateurs susceptibles de s'exposer à ce vecteur d'attaque jusqu'alors inconnu..

Organisme de recherche canadien à but non lucratif Effet ouvert, et laboratoire de recherche interdisciplinaire Citizen Lab, a examiné huit des appareils portables de fitness les plus populaires actuellement disponibles: l'Apple Watch, le Basis Peak, le Fitbit Charge HR, le Garmin Vivosmart, le Jawbone UP 2, le Mio Fuse, le Withings Pulse O2 et le Xiaomi Mi Band.

Le rapport de recherche combiné visait à découvrir les mesures prises par les entreprises technologiques pour protéger et maintenir la sécurité de vos données. Bien que nous sachions et comprenions que les analyseurs de condition physique vont collecter des données sur les battements de cœur, les traces de pas, les calories et le sommeil, les chercheurs ont exploré ce qu'il advient de ces données lorsqu'elles sont entre les mains des développeurs.

Quelles données sont envoyées à un serveur distant? Comment les entreprises de technologie sécurisent-elles les données? Avec qui est-il partagé? Comment les entreprises utilisent-elles réellement l'information??

Les principales conclusions comprennent:

  • Sept dispositifs de suivi de la condition physique sur huit émettent des identifiants uniques persistants (adresse de contrôle d'accès Bluetooth Media) qui peuvent exposer leurs porteurs au suivi à long terme de leur position lorsque le périphérique n'est pas couplé ni connecté à un périphérique mobile..
  • Les applications Jawbone et Withings peuvent être exploitées pour créer de faux enregistrements de groupes de fitness. De tels faux dossiers remettent en question la fiabilité de l'utilisation des données de ce programme de suivi de la condition physique dans les procès et les programmes d'assurance..
  • Les applications Garmin Connect (iPhone et Android) et Withings Health Mate (Android) présentent des vulnérabilités en matière de sécurité qui permettent à un tiers non autorisé de lire, écrire et supprimer des données utilisateur..
  • Garmin Connect n'utilise pas de pratiques de sécurité de base en matière de transmission de données pour ses applications iOS ou Android et expose par conséquent les informations relatives à la condition physique à la surveillance ou à la falsification..

Identifiants uniques persistants

La technologie portable émet un signal Bluetooth persistant. Que ce soit une smartwatch ou un suiveur de fitness, ce signal est utilisé pour communiquer de manière constante avec votre smartphone. Leur communication avec le périphérique externe est maintenue à l'aide d'une adresse MAC (Media Access Control) Qu'est-ce qu'une adresse MAC et peut-elle être utilisée pour sécuriser votre réseau domestique? [MakeUseOf explique] Qu'est-ce qu'une adresse MAC et peut-elle être utilisée pour sécuriser votre réseau domestique? [MakeUseOf explique] La structure et la gestion du réseau ont leur propre jargon. Certains des termes utilisés vous sembleront probablement familiers. Ethernet et Wi-Fi sont des concepts qui vont de soi, même si cela peut nécessiter un peu… d'identification unique du moniteur de condition physique..

Dans le contexte des suivis de conditionnement physique, la sécurité des données à caractère personnel exige que ces adresses soient randomisées afin d’empêcher que l’utilisateur ne puisse être suivi et identifié par l’adresse MAC. Les balises Bluetooth, utilisées de plus en plus fréquemment dans les centres commerciaux pour créer de la publicité mobile ciblée, permettent de suivre et de définir le profil de ces appareils à l'aide d'une seule adresse MAC (ils peuvent également être créés par toute personne disposant d'un ordinateur compact et adapté. Construisez un iBeacon DIY avec un Raspberry Pi Build. un iBeacon de bricolage avec un Raspberry Pi Les publicités destinées à un utilisateur particulier qui se promène dans un centre métropolitain font partie de l'avenir dystopique, mais ce n'est pas du tout un avenir dystopique: la technologie est déjà là.). En effet, des appareils testés, seule la Apple Watch randomisée son adresse MAC “à environ 10 minutes d'intervalle” pour protéger l'identité de son utilisateur.

Avec l'adresse MAC persistante enregistrée, il est possible de suivre l'emplacement de l'utilisateur d'une balise à l'autre. Si un centre commercial décide de collecter les informations de localisation de l'utilisateur tout au long de sa visite, les données peuvent être vendues à une agence de marketing ou à un autre courtier de données, sans notification préalable à l'utilisateur. Si un seul courtier de données peut acheter plusieurs profils, les informations peuvent être rassemblées pour créer des profils de publicité sophistiqués et ciblés, activées chaque fois que l'utilisateur (et son identifiant de périphérique unique) entre dans le bâtiment..

Les applications sont aussi mauvaises

Chaque tracker de fitness est livré avec sa propre application de surveillance, capturant la pléthore de données relatives au fitness et les traduisant en une belle représentation visuelle des actions des utilisateurs. Cependant, il a été constaté que les applications elles-mêmes divulguaient des informations personnelles sur plusieurs sites de transmission..

Par exemple, on pourrait s’attendre à ce que toute transmission de données à caractère personnel soit cryptée à l’aide du protocole HTTPS. Qu'est-ce que HTTPS et comment activer les connexions sécurisées par défaut? Qu'est-ce que HTTPS et comment activer les connexions sécurisées par défaut? ont atteint le devant de la plupart des esprits. Des termes comme antivirus ou pare-feu ne sont plus un vocabulaire étrange et ne sont pas seulement compris, mais aussi utilisés par…; Garmin Connect n'a pas réussi à le faire, laissant les données utilisateur passivement exposées à un indiscret potentiel.

De même, bien que Bellabeat Leaf et Withings Health Mate communiquent avec des serveurs distants via HTTPS, les deux sociétés ont envoyé des e-mails en texte clair aux utilisateurs pour confirmer leurs informations d'identification, les laissant ainsi ouverts aux attaques de type "man-in-the-middle". Tout attaquant possédant une connaissance pratique de l’API Bellabeat ou Withings pourrait accéder à un large éventail d’informations personnelles sur la condition physique en quelques minutes. Cette forme d’attaque pourrait également être utilisée pour transmettre des données malveillantes ou fausses au portable ou au téléphone de l’utilisateur..

Falsification des données

Trois des applications de suivi de la condition physique observées “étaient vulnérables à un utilisateur motivé créant de fausses données de fitness générées pour leur propre compte,” incitant les serveurs de l'entreprise à accepter de fausses données. Effet ouvert et Citizen Lab création de plusieurs applications conçues pour amener les serveurs de suivi de la condition physique à accepter de fausses informations, avec notamment Bellabeat LEAF, Jawbone UP et Withings Health Mate.

“Nous avons envoyé une demande à Jawbone indiquant que notre utilisateur de test avait effectué dix milliards de pas en une journée.”

Leur application a uniformément réparti les pas de temps en intervalles fixes sur une période souhaitée, créant une distribution artificielle de pas. Les chercheurs ont conclu qu'une approche plus sophistiquée serait “allouer au hasard des étapes pour établir une distribution plus réaliste” pour échapper à la détection.

Pourquoi c'est un problème?

Les suiveurs de fitness peuvent maintenir un flux continu de collecte de données personnelles. Quelle quantité de vos données personnelles pourrait être suivie par les appareils intelligents? Quelle quantité de vos données personnelles les appareils intelligents pourraient-ils suivre? Les préoccupations de sécurité et de confidentialité des maisons intelligentes sont toujours aussi réelles. Et même si nous aimons l’idée de la technologie intelligente, c’est l’une des nombreuses choses à prendre en compte avant de plonger…. Les vecteurs de collecte de données courants comprennent les pas, les battements de coeur, les habitudes de sommeil, l'altitude, les géolocalisations, la qualité des activités et les types d'activités..

Certains des suiveurs de conditionnement physique encouragent leurs utilisateurs à participer à d'autres activités physiques ou sociales, telles que la spécification d'aliments pour le comptage et l'analyse calorifiques, l'humeur personnelle à des moments spécifiques de la journée (y compris en ce qui concerne les activités et la consommation d'aliments), pour enregistrer leur forme physique. objectifs 10 modèles Excel pour suivre votre santé et votre forme physique 10 modèles Excel pour votre santé et votre forme physique et suivre les progrès au fil du temps Suivre les zones clés de votre vie en une minute avec Google Forms Suivre les zones clés de votre vie en 1 minute avec Google Forms Ce que vous pouvez apprendre sur vous-même est étonnant lorsque vous prenez le temps de faire attention à vos habitudes et à vos comportements quotidiens. Utilisez les formulaires Google polyvalents pour suivre vos progrès par rapport à des objectifs importants. , ou pour rivaliser avec d'autres passionnés de fitness dans des environnements de tableau de bord de style réseaux sociaux ludiques Les meilleures applications de fitness sociales pour travailler avec des amis et la famille Les meilleures applications de fitness sociales pour travailler avec des amis et la famille Les applications de fitness sociales peuvent être l'une des meilleures façons de rester responsable envers vos amis, mais vous devez trouver l'application qui vous convient le mieux! .

Les questions soulevées par Effet ouvert et Citizen Lab illustrer les dangers liés au fait de s’en remettre aux suivis physiques pour fournir des données personnelles fiables dans diverses situations. Les données de suivi de la condition physique ont été utilisées pour sécuriser des polices d’assurance ou représenter les progrès réalisés en matière de problèmes médicaux, mais nous voyons que les données pourraient facilement être falsifiées..

En outre, ces problèmes de données rendent-ils discutables la nature même de ces entreprises de technologie de suivi du fitness? Comment ces faibles tentatives de protection des données se traduisent-elles dans leurs autres produits? Le problème ne concerne pas uniquement les suivis de fitness, et les citoyens et les régulateurs doivent faire plus pour que les données des utilisateurs soient protégées à tout moment, sinon nous risquerions de voir des industries entières minées par leur manque apparent de soin et leur discrétion face aux données privées..

Quoi ensuite?

Les conclusions du rapport sont claires: sécurité accrue sur la base des recommandations du Effet ouvert et Citizen Lab. La sécurité personnelle et privée est sérieuse et nous devrions régler les problèmes dès leur arrivée. Mais ce n'est pas seulement une sécurité renforcée qui est nécessaire. Les utilisateurs de Fitness Tracker doivent comprendre où leurs données sont envoyées, où elles sont stockées et quelles autres parties y ont accès..

Il incombe aux entreprises technologiques de communiquer à leurs utilisateurs toute la profondeur de la surveillance technique à laquelle ils ont acquiescé, qu’ils le réalisent ou non, ainsi que ses risques potentiels..

Est-il temps de jeter votre moniteur de fitness? Probablement pas, surtout si vous avez une montre Apple Not Not The Apple Watch: 9 Autres vêtements vestimentaires compatibles avec l'iPhone Not The Apple Watch: 9 Autres vêtements vestimentaires compatibles iPhone - L'annonce de l'Apple Watch a été une grande nouvelle, mais il est loin d'être le seul appareil portable conçu pour être utilisé avec un iPhone. . Malgré des réactions mitigées concernant les conclusions du rapport technique des fabricants de systèmes de suivi de la condition physique, il est peu probable que ces vulnérabilités existeront longtemps..

Ou, on peut au moins espérer qu'ils n'existeront pas longtemps.

Êtes-vous inquiet à propos de votre tracker de fitness? Avez-vous perdu des données avec la technologie portable? Qu'est-il arrivé? Faites-nous savoir ci-dessous!




Personne n'a encore commenté ce post.

Votre guide complet sur le blocage des invitations sur Facebook
Des médias sociaux
Facebook vous permet maintenant de donner votre compte à quelqu'un lorsque vous mourrez
Des médias sociaux
20 comptes Twitter essentiels à suivre
Des médias sociaux
De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.