Falles de seguretat i privadesa descobertes en dispositius portables populars

Aquí a vpnMentor, hem encarregat un informe per posar a prova la seguretat i la privacitat de tres productes usables en els sectors de salut i fitness.

Tenien les plantetes càlides Digitsole, la diadema Modius i el termòmetre Ivy Health Kids es troba tot recopilant i exposant informació personal, posant en risc la privadesa dels seus usuaris. En el cas de Digitsole i Modius, els pirates informàtics van poder combatre-se amb el dispositiu d’un usuari i controlar-lo, permetent que causin danys físics a la persona que l’utilitza.

A continuació descrivim els detalls de les nostres troballes.

Què és Wearable Tech?

Wearable Tech, que significa una tecnologia que es pot portar, són gadgets intel·ligents que porteu. Aquests aparells disposen de sensors intel·ligents, connexió web i es poden connectar sense fils al telèfon. Entre els wearables més populars s’inclouen rellotges intel·ligents, seguidors de fitness, ulleres de vídeo i molt més.

Si bé aquests elements portables són útils de moltes maneres, es connecten a Internet, cosa que vol dir es poden piratejar.

Com vam inspeccionar aquests dispositius

Vam fer una ullada a tres dispositius que es poden portar, relacionats amb la salut o la forma física d’alguna manera. Hem descarregat les darreres versions des de Google Play Store en un telèfon Android 8.0 i interceptar i escanejar trànsit Bluetooth i WiFi.

Hem classificat cada dispositiu sobre 5 tant en matèria de seguretat com en privadesa.

La seguretat es mesura amb la facilitat que un hacker pot accedir a la informació de l’usuari i controlar el dispositiu.

La privadesa es mesura mitjançant quines dades recopila l’aplicació dels seus usuaris (amb o sense permís).

La nostra investigació va trobar que totes tres d’aquestes aplicacions es connecten mitjançant Bluetooth sense cap autenticació, recopilen ubicacions i identificadors personals i utilitzen Facebook o Google Analytics.

Plantilles càlides DigitsoleRecull informació sobre ubicació, edat, alçada, sexe, pes, velocitat, calories cremades, passos realitzats i informació de Facebook.Puntuació final de seguretat: 2/5Puntuació final de privadesa: 2/5
Diadema ModiusRecull informació d’ubicació, empremtes dactilars, informació de Facebook i identificadors únics de dispositius mòbilsPuntuació final de seguretat: 4/5Puntuació final de privacitat: 3/5
Ivy Health KidsRecull informació personal sobre ubicació, càmera fotogràfica, fill i pare, mesuraments de temperatura, Google Analytics i identificadors únics de dispositius mòbils.Puntuació final de seguretat: 2/5Puntuació final de privadesa: 2/5

Detalls de les vulnerabilitats de tecnologia wearable

Plantilles càlides Digitsole

Aquestes plantilles estan pensades i dissenyades per a corredors àvids en climes freds. Les plantetes no només escalfen els peus, sinó fan un seguiment de les activitats físiques del dia a dia dels usuaris.

El nostre informe mostra que l’aplicació exposa informació personal, incloses les ubicacions.

Segons la política de privadesa de Digitsole, l’aplicació recopila poca informació de l’usuari i cap d’ella es ven ni reenvia a tercers. També afirma que hi ha una manera d’esborrar totes les dades recollides per l’usuari.

malgrat això, hem notat que l’aplicació accedeix a la vostra ubicació i emmagatzematge del telèfon. També vam notar que l’aplicació recopila dades sobre el vostre perfil de Facebook i amics, el nombre de passos que feu al dia, quantes calories cremes, la vostra velocitat, sexe, pes i alçada..

A més, l’aplicació continua accedint a la ubicació del telèfon sempre que la vostra ubicació estigui activa i el dispositiu estigui funcionant en segon pla, fins i tot si desactiveu la funció de seguiment.

En connectar-se a Bluetooth, que no té autenticació, els hackers poden canviar fàcilment la temperatura de les plantilles, de vegades augmentant la calor a 45 ° C. També poden recopilar la informació que l’usuari va fer i no va donar.

Dades que l’usuari proporciona directament quan es registra a Digitsole:Dades no proporcionades directament per l’usuari:
  • Edat
  • Ubicació amb marca de temps
  • Alçada
  • Perfil de Facebook i amics
  • Pes
  • Calories cremades
  • Gènere
  • Velocitat
  • Passos realitzats

Les dades de registre s’envien als servidors de Digitsole. Tanmateix, les dades en temps real s’envien als servidors a un interval fix cada pocs segons. Totes les dades s’envien a través d’un xifrat connectat mitjançant HTTPS.

L’aplicació Digitsople recopila dades de Facebook

Diadema Modius

S’ha trobat que aquest dispositiu de pèrdua de pes comportable de vulnerabilitats respecte a la informació dels usuaris.

El Modius Headband és dissenyat per canviar el pes corporal i l’apetit d’un usuari enviant senyals elèctriques al cervell.

Hem provat la versió 1.6.0 de l’aplicació Android de Modius i hem trobat que recopila tant la ubicació com l’accés d’empremtes dactilars.

És certament una tecnologia avançada; tanmateix, ja que es connecta a Bluetooth (que no està autenticat) els pirates informàtics han pogut obtenir detalls sobre el cos de l’usuari, inclosa la longitud de la cintura, el percentatge de greix corporal i fins i tot les empremtes dactilars.

Els pirates de penetració també van poder esbrinar la ubicació de cada usuari i, quan eren prou a prop, físicament capaç de controlar el dispositiu. Això vol dir que podrien iniciar o aturar una exploració de les bandes del cap i alterar el corrent elèctric al màxim nivell, cosa que provoca nàusees i malalties generals.

Si bé això és perillós, no hem trobat cap exposició a informació d’usuari privat.

Tot i això, hem pogut fer el seguiment següent:

  • Ubicació
  • Empremta digital
  • Seguiment de Facebook
  • Pes
  • Alçada
  • Amplada de la cintura
  • Percentatge de greix corporal
  • Historial d’ús del dispositiu Modius
  • Dades personals, data de naixement, nom i adreça de correu electrònic.

L’aplicació de Modius s’integra amb Facebook i requereix accés a la ubicació. 

Totes les dades personals s’envien als servidors de Modius després del registre, mentre que totes les dades restants s’envien sempre que l’aplicació s’utilitza de forma regular. També vam veure que totes les dades s’envien a través d’un canal xifrat mitjançant HTTPS.

Termòmetre Ivy Health Kid

Aquest termòmetre de braç intel·ligent i portàtil està pensat per a nadons i nens petits i es connecta mitjançant Bluetooth a una aplicació de dispositius mòbils que la controla. Aquest dispositiu útil us permet fer-ho Superviseu la temperatura del vostre nadó en tot moment, informa de la seva cerca al telèfon mitjançant Bluetooth.

Si bé no es pot fer un dany físic, vam trobar que exposa informació personal.

Dels tres usables que es van provar, la quantitat d’informació recollida per Ivy Health Kids va ser la més elevada.

Hem provat la versió 1.0, que requereix molts permisos, incloent accés per llegir i escriure a emmagatzematge extern, càmera, ubicació i molt més.

Llista de permisos d’IvyHealth

Els pirates informàtics van poder accedir als noms dels fills, data de naixement, sexe i molt més dels que van utilitzar el dispositiu per supervisar la temperatura. Els atacants també van trobar informació sobre la relació de la família de cada nen. Aquesta informació pot exposar l’estructura, la relació i, per descomptat, la temperatura de tota la família. i la seva història de mesura de temperatura.

Potser el més preocupant és que l’API i el portal de l’aplicació es publiquen mitjançant HTTP insegurs. Aquesta vulnerabilitat deixa el nom d’usuari i la contrasenya de l’usuari en risc.

Amb aquestes vulnerabilitats, no és estrany que la seguretat de les coses portables segueixi sent qüestionable, i fins i tot dispositius senzills es puguin comprometre. Alemanya va prohibir els rellotges intel·ligents infantils l’any passat i la Xina va prohibir l’ús de smartwatch a l’exèrcit fa uns anys.

Però l’augment del risc que envolta els productes portables no està aturant la seva pujada. Es preveu que el mercat global de productes portables passarà de 113,2 milions d’enviaments el 2017 a 222,3 milions el 2021 amb una taxa de creixement anual composta (CAGR) del 18,4%., segons la International Data Corporation (IDC) World Tracker Quarterly Wearable Device Tracker.

Ha arribat el moment de repensar el nostre enfocament sobre seguretat i privacitat quan es tracta de productes portables?

Feu clic aquí per veure l’informe complet que conté més detalls sobre el rànquing de privadesa i seguretat de cada dispositiu.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me