უსაფრთხო და კონფიდენციალურობის ხარვეზები აღმოაჩინეს პოპულარულ მოწყობილობებში

აქ, vpnMentor– ზე, ჩვენ დავალებით დავამზადეთ ანგარიში, რომ შეამოწმოთ ჯანმრთელობისა და ფიტნეს სექტორიებში სამი ტარადი უსაფრთხოების და დაცვა..

Digitsole Warm Insoles, Modius Headband და Ivy Health საბავშვო თერმომეტრი იყო ყველა აღმოჩნდა პერსონალური ინფორმაციის შეგროვება და გამოაშკარავება, რისკავს მათი მომხმარებლების კონფიდენციალურობას. Digitsole და Modius– ის შემთხვევაში, ჰაკერებმა შეძლეს შეხვიდეთ მომხმარებლის მოწყობილობასთან და გააკონტროლონ იგი, მათ საშუალებას აძლევს მათ ფიზიკური ზიანი მიაყენონ მას გამოყენებული პირისათვის.

ჩვენი აღმოჩენების დეტალებს ქვემოთ აღწერს.

რა არის Wearable ტექნიკური?

Wearable ტექნიკური, რომელიც აცვიათ აცვიათ ტექნოლოგია, ჭკვიანი გაჯეტებია, რომელიც აცვიათ. ამ გაჯეტებს აქვთ ჭკვიანი სენსორები, ქსელური კავშირი და შეუძლიათ უკაბელო დაკავშირება თქვენს ტელეფონზე. პოპულარულ ტარება მოიცავს smartwatches, ფიტნეს ტრეკერებს, ვიდეო სათვალეებს და სხვა.

მიუხედავად იმისა, რომ ეს საცვლები მრავალი თვალსაზრისით სასარგებლოა, ისინი ინტერნეტს უკავშირებენ, რაც ნიშნავს მათი გარჩევა შეიძლება.

როგორ შეამოწმეთ ეს მოწყობილობები

ჩვენ გადავხედეთ სამ აცვიათ მოწყობილობას, რაც ჯანმრთელობას ან ფიტნესს ეხება გარკვეულწილად. ჩვენ ჩამოტვირთეთ უახლესი ვერსიები Google Play Store– დან Android 8.0 ტელეფონით და დაუკითხავს და დასკანირდება Bluetooth და WiFi ტრაფიკი.

ჩვენ თითოეული მოწყობილობა 5 – ს გავაფორმეთ, როგორც უსაფრთხოებას, ასევე კონფიდენციალურობას.

უსაფრთხოება ფასდება იმის მიხედვით, თუ როგორ შეუძლია ჰაკერს ხელი მიუწვდეს მომხმარებლის ინფორმაციას და აკონტროლოს მოწყობილობა.

კონფიდენციალურობა ფასდება, თუ რა მონაცემებს აგროვებს პროგრამა მისი მომხმარებლებისგან (ნებართვით ან მის გარეშე).

ჩვენმა კვლევამ დაადგინა, რომ ამ სამივე აპლიკაცია Bluetooth- ს აკავშირებს ყოველგვარი ავტორიზაციის გარეშე, აგროვებს ადგილმდებარეობას და პირად იდენტიფიკატორებს და იყენებს Facebook ან Google Analytics.

Digitsole თბილი საცობებიაგროვებს ადგილმდებარეობას, ასაკს, სიმაღლეს, სქესს, წონას, სიჩქარეს, კალორიების დაწვას, გადადგმულ ნაბიჯებს და ფეისბუქის ინფორმაციას.უსაფრთხოების საბოლოო ქულა: 2/5კონფიდენციალურობის საბოლოო ქულა: 2/5
Modius Headbandაგროვებს ადგილმდებარეობას, თითის ანაბეჭდს, ფეისბუკის ინფორმაციას და მობილური მოწყობილობის უნიკალურ იდენტიფიკატორებსუსაფრთხოების საბოლოო ქულა: 4/5კონფიდენციალურობის საბოლოო ქულა: 3/5
სურო ჯანმრთელობა ბავშვებოაგროვებს ადგილმდებარეობის, კამერის, ბავშვისა და მშობლების პირად ინფორმაციას, ტემპერატურის გაზომვებს, Google Analytics და მობილური მოწყობილობის უნიკალურ იდენტიფიკატორებს.უსაფრთხოების საბოლოო ქულა: 2/5კონფიდენციალურობის საბოლოო ქულა: 2/5

ჩვეული ტექნიკური დაუცველობების დეტალები

Digitsole თბილი საცობები

ეს ხვრელები განკუთვნილია და განკუთვნილია ცივ კლიმატში მხიარული მორბენალებისთვის. Insoles არა მხოლოდ გაათბეთ თქვენი ფეხები, არამედ ისინი თვალყურს ადევნებენ მომხმარებლების ყოველდღიურ ფიზიკურ საქმიანობას.

ჩვენმა მოხსენებამ აჩვენა, რომ აპლიკაცია ხსნის პერსონალურ ინფორმაციას, მათ შორის მდებარეობებს.

Digitsole– ის კონფიდენციალურობის პოლიტიკის თანახმად, აპლიკაცია აგროვებს მომხმარებლის შესახებ მცირე ინფორმაციას და არცერთი მათგანი არ არის გაყიდული ან გადაგზავნილი მესამე პირებისთვის. ასევე ნათქვამია, რომ არსებობს გზა, რომ ამოიღონ ნებისმიერი და ყველა მომხმარებლის მიერ შეგროვილი მონაცემები.

თუმცა, ჩვენ შევამჩნიეთ, რომ აპლიკაცია თქვენს საიტზე და ტელეფონის შესანახს წვდება. ჩვენ ასევე შევამჩნიეთ, რომ აპლიკაცია აგროვებს მონაცემებს თქვენი Facebook პროფილისა და მეგობრების შესახებ, დღეში გადადგმული ნაბიჯების რაოდენობას, რამდენ კალორიას დაწვავთ, თქვენს სიჩქარეს, სქესს, წონასა და სიმაღლეს..

გარდა ამისა, პროგრამა აგრძელებს თქვენი ტელეფონის მდებარეობის წვდომას სანამ თქვენი ადგილმდებარეობა ჩართულია და მოწყობილობა გადის ფონზე, მაშინაც კი, თუ თვალყურის დევნება ჩართულია.

Bluetooth- ით დაკავშირებით, რომელსაც არ აქვს ავტორიზაცია, ჰაკერებს ადვილად შეუძლიათ შეცვალონ ღუმელების ტემპერატურა, ზოგჯერ სითბოს ამაღლება 113 ° F- მდე (45 ° C). მათ ასევე შეუძლიათ შეაგროვონ ინფორმაცია, რომელიც მომხმარებელმა გააკეთა და არ მისცა.

მომხმარებლის მიერ უშუალოდ მონაცემები Digitsole– ზე დარეგისტრირებისას:მომხმარებლის მიერ უშუალოდ მოცემული მონაცემები:
  • ასაკი
  • ადგილმდებარეობის ვადა
  • სიმაღლე
  • ფეისბუქის პროფილი და მეგობრები
  • წონა
  • კალორიები დაიწვა
  • გენდერი
  • სიჩქარე
  • გადადგმული ნაბიჯები

რეგისტრაციის მონაცემები იგზავნება Digitsole- ის სერვერებზე. რეალურ დროში მონაცემები სერვერებზე იგზავნება ფიქსირებულ ინტერვალში, ყოველ რამდენიმე წამში. ყველა მონაცემი იგზავნება დაშიფრული დაკავშირებული HTTPS გამოყენებით.

Digitsople აპლიკაცია აგროვებს ფეისბუქის მონაცემებს

Modius Headband

წონის დაკარგვის ამ აცვიათ მოწყობილობამ დაადგინა, რომ მომხმარებლების შესახებ ინფორმაციის სუსტი მხარეებია.

Modius Headband არის შექმნილია შეცვალოს მომხმარებლის სხეულის წონა და მადა ტვინში ელექტრონული სიგნალების გაგზავნით.

ჩვენ შეამოწმეთ Modius- ის Android პროგრამის 1.6.0 ვერსია და აღმოვაჩინეთ, რომ იგი აგროვებს როგორც ადგილს, ასევე თითის ანაბეჭდის დაშვებას.

ეს რა თქმა უნდა მოწინავე ტექნოლოგიაა; ამასთან, რადგან ის აკავშირებს Bluetooth- ს (რაც არ არის დამოწმებული) ჰაკერებმა შეძლეს დეტალების მოპოვება მომხმარებლის სხეულის შესახებ, წელის სიგრძის, სხეულის ცხიმის პროცენტული და თითის ანაბეჭდების ჩათვლით.

შეღწევადობის ჰაკერებს ასევე შეეძლოთ გაერკვნენ თითოეული მომხმარებლის ადგილმდებარეობა და, როდესაც ფიზიკურად საკმაოდ ახლოს იყვნენ შეუძლია გააკონტროლოს მოწყობილობა. ეს ნიშნავს, რომ მათ შეეძლოთ დაიწყეთ ან შეაჩერეთ headband სკანირება და შეცვალეთ ელექტრული დენი მაქსიმალურ დონეზე, რაც გულისრევა და ზოგადი ავადმყოფობა იწვევს.

მიუხედავად იმისა, რომ ეს საშიშია, ჩვენ ვერ გამოვნახეთ პირადი მომხმარებლის შესახებ ინფორმაცია.

ამასთან, ჩვენ შევძელით შემდეგი თვალყურის დევნება:

  • ადგილმდებარეობა
  • თითის ანაბეჭდი
  • Facebook თვალყურის დევნება
  • წონა
  • სიმაღლე
  • წელის სიგრძე
  • სხეულის ცხიმის პროცენტი
  • Modius მოწყობილობის გამოყენების ისტორია
  • პერსონალური მონაცემები, დაბადების თარიღი, სახელი და ელ.ფოსტის მისამართი.

Modius- ის აპლიკაცია ინტეგრირებულია Facebook- ით და საჭიროებს ადგილმდებარეობის ხელმისაწვდომობას. 

ყველა პერსონალური მონაცემი ეგზავნება Modius- ის სერვერებს რეგისტრაციის შემდეგ, ხოლო დანარჩენი მონაცემები იგზავნება ყოველთვის, როდესაც პროგრამას იყენებენ რეგულარულად. ჩვენ ასევე დავინახეთ, რომ ყველა მონაცემი იგზავნება დაშიფრული არხის გამოყენებით, HTTPS გამოყენებით.

Ivy Health Kid- ის თერმომეტრი

ეს ჭკვიანური და პორტატული მკლავის თერმომეტრი განკუთვნილია ჩვილებისა და პატარა ბავშვებისთვის და Bluetooth– სთან აკავშირებს მობილური მოწყობილობის აპს, რომელიც აკონტროლებს მას. ეს სასარგებლო მოწყობილობა საშუალებას გაძლევთ აკონტროლეთ თქვენი ბავშვის ტემპერატურა ნებისმიერ დროს და აცნობებს მის მოძიებას თქვენს ტელეფონზე Bluetooth- ის საშუალებით.

მიუხედავად იმისა, რომ ფიზიკური დაზიანების გაკეთება შეუძლებელია, ჩვენ აღმოვაჩინეთ, რომ იგი პერსონალურ ინფორმაციას ავლენს.

ტესტირებული სამი ტარადიდან, ყველაზე მეტი იყო Ivy Health Kids- ის მიერ შეგროვებული ინფორმაციის რაოდენობა.

ჩვენ შეამოწმეთ ვერსია 1.0, რომელიც მოითხოვს უამრავ ნებართვას, მათ შორის გარედან შენახვის, კამერის, ადგილმდებარეობის და სხვა საშუალებების წვდომის წასაკითხად და ჩაწერის ჩათვლით.

IvyHealth ნებართვების სია

ჰაკერებს შეეძლოთ ბავშვების სახელების წვდომა, დაბადების თარიღი, სქესი და სხვა მათგან, ვინც მოწყობილობას იყენებდა ტემპერატურის მონიტორინგისთვის. თავდამსხმელებმა ასევე მოიძიეს ინფორმაცია თითოეული ბავშვის ოჯახთან ურთიერთობის შესახებ. ამ ინფორმაციამ შეიძლება გამოავლინოს მთელი ოჯახის სტრუქტურა, ურთიერთობა და, რა თქმა უნდა, მათი ტემპერატურა. და მათი ტემპერატურის გაზომვის ისტორია.

ალბათ, ყველაზე საინტერესო ის არის, რომ აპლიკაციის API და პორტალი ემსახურება არასაიმედო HTTP- ს. ამ დაუცველობას რისკის ქვეშ აყენებს მომხმარებლის სახელი და პაროლი.

ამ დაუცველობებთან ერთად, გასაკვირი არ არის, რომ აცვიათ უსაფრთხოების დაცვა საეჭვოა და უბრალო მოწყობილობებზეც კი შეიძლება კომპრომისული იყოს. გერმანიამ შარშან აკრძალა ბავშვების სმარტფონები, ხოლო ჩინეთმა აკრძალა რამდენიმე წლის წინ ჯარში smartwatch გამოყენება.

მაგრამ გაზრდილი რისკი, რომელსაც გარს ატარებს ტარება, არ აჩერებს მის ზრდას. მოსალოდნელია, რომ ტვიფრების ბაზარი გაიზარდოს 2017 წელს 113.2 მილიონი გზავნილიდან 2221 წლამდე 222.3 მილიონამდე, ხოლო ზრდის წლიური ზრდის ტემპი (CAGR) 18.4% -ით., მონაცემების საერთაშორისო კორპორაციის (IDC) მსოფლიო კვარტალური საცავი მოწყობილობის მიმდევრობის მიხედვით.

ახლა არის დრო, რომ გადავხედოთ ჩვენს მიდგომას უსაფრთხოებისა და კონფიდენციალურობის საკითხზე, როდესაც საქმე ეხება ტარებას?

დააწკაპუნეთ აქ, რომ ნახოთ სრული ანგარიში, რომელიც შეიცავს დამატებით დეტალებს, რომლებიც დაკავშირებულია თითოეული მოწყობილობის კონფიდენციალურობასა და უსაფრთხოების რეიტინგში.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me