Smart hodinky, fitness náramky a ďalšie nositeľné zariadenia sú pre nás už takmer rovnako bežné ako mobily či tablety. Tieto pripojené zariadenia dokážu omnoho viac než len ukazovať čas. Sledujú naše zdravie, zobrazujú e‑maily, majú pod palcom naše inteligentné domácnosti a vieme nimi dokonca platiť v obchodoch. Sú rozšírením tzv. internetu vecí (IoT), vďaka ktorému žijeme zdravšie a pohodlnejšie.
Záujem o smart zariadena narastá
Nie je prekvapením, že ide o trh, ktorý by mal v blízkej budúcnosti každoročne rásť o 12,5 % a do roku 2028 prekročiť tržby vo výške 118 miliárd dolárov. Hoci smart hodinky a fitness náramky dnes zasahujú do nášho každodenného života viac ako kedykoľvek predtým, zhromažďujú aj viac údajov a pripájajú sa k čoraz väčšiemu počtu ďalších inteligentných systémov.
O potenciálnom nebezpečenstve, ktoré predstavujú pre našu bezpečnosť a súkromie, sa oplatí vedieť vopred.
Aké sú najčastejšie riziká?
Existuje viacero spôsobov, ako vedia útočníci zarobiť, keď zaútočia na fitness náramky a súvisiaci ekosystém aplikácií a softvéru. Dokážu zachytiť a meniť prenášané údaje či heslá a odomknúť stratené alebo odcudzené zariadenia.
Nevedomé zdieľanie osobných údajov s tretími stranami takisto predstavuje možné ohrozenie súkromia. Pozrime sa na to bližšie.
Krádež a manipulácia údajov
Niektoré smart hodinky vybavené množstvom funkcií poskytujú synchronizovaný prístup k mobilným aplikáciám, ako sú e‑mailová schránka a správy. Neoprávnení používatelia tak môžu využiť príležitosť a zachytiť citlivé osobné údaje. Rovnako znepokojujúce je však aj to, kde väčšina z týchto dát skončí.
Ak uložené údaje nie sú dostatočne chránené, poskytovatelia sa môžu stať terčom útokov, ktorých výsledkom je únik dát. Niektoré typy osobných a finančných údajov sú žiadanými komoditami pre prekvitajúci čierny trh.
Hrozby spojené so sledovaním polohy
Ďalší kľúčový typ údajov, ktorý zaznamenáva väčšina nositeľných zariadení, sa týka polohy. Na základe týchto informácií si hackeri dokážu vytvoriť presný obraz o tom, kde sa celý deň pohybujete. Môžu vás fyzicky napadnúť alebo sa vlámať do vášho auta či domu v čase, keď vyhodnotia, že sa v nich nikto nenachádza.
Ešte väčšie obavy vyvoláva bezpečnosť detí, ktoré nosia takéto zariadenia, ak ich sledujú neoprávnené tretie strany.
Spoločnosti tretích strán
Používatelia by sa nemali obávať len bezpečnostných rizík. Údaje, ktoré vaše zariadenia zhromažďujú, môžu mať veľkú hodnotu pre inzerentov. Na niektorých trhoch sa s takýmito údajmi vo veľkom obchoduje, hoci v EÚ by mali byť prísne regulované na základe legislatívy zavedenej v roku 2018.
V jednej správe sa uvádza, že tržby z údajov, ktoré výrobcovia zdravotníckych zariadení predávajú poisťovniam, by mohli do roku 2023 dosiahnuť 855 miliónov dolárov.
Niektoré tretie strany ich dokonca môžu použiť na vytváranie reklamných profilov používateľov a predávať ich ďalej. Ak údaje uchovávajú viaceré nadväzujúce spoločnosti, riziko je ešte väčšie.
Prístup k inteligentnej domácnosti
Niektoré nositeľné zariadenia je možné použiť na ovládanie domácich inteligentných zariadení, ktoré dokážu napríklad odomknúť vaše vchodové dvere. V prípade straty alebo odcudzenia zariadení, ktoré nemajú zapnuté nastavenia proti krádeži, ide o veľké bezpečnostné riziko.
Na čo ekosystémy zariadení nestačia?
Zariadenie, ktoré nosíte, je len časťou celku. Zvyšok tvorí všetko od firmvéru zariadenia cez protokoly používané na pripájanie až po aplikácie a backendové cloudové servery. Ak výrobca riadne nezohľadnil bezpečnosť a ochranu súkromia, môžu byť náchylné na útok.
Medzi vektory útoku patria:
• Bluetooth: Na spárovanie nositeľných zariadení so smartfónom sa zvyčajne používa Bluetooth Low Energy (BLE). V priebehu rokov sa však v protokole odhalilo niekoľko zraniteľností. Útočníci v tesnej blízkosti tak môžu znefunkčniť fitness náramky, odsledovať informácie alebo manipulovať s údajmi.
• Zariadenia: Samotný softvér zariadenia je často zraniteľný voči vonkajším útokom z dôvodu zlého naprogramovania. Aj tie najkvalitnejšie hodinky predsa len vytvoril človek, a preto môžu obsahovať chyby v kódovaní, čo eventuálne vyústi k úniku súkromných údajov, strate dát a podobne.
• Slabé overovanie či šifrovanie môže viesť k prevzatiu kontroly nad zariadením a zachyteniu prenášaných informácií. Používatelia by si tiež na verejnosti mali dávať pozor na špehovanie, ak si na nositeľných zariadeniach prezerajú citlivé údaje či správy.
• Aplikácie: Ďalším vektorom útoku sú mobilné aplikácie spárované s nositeľnými zariadeniami. Aj tie môžu byť zle naprogramované a plné zraniteľností, čo útočníkom umožňuje prístup k údajom a zariadeniam používateľov. Iným problémom je, ak aplikácie alebo samotní používatelia neopatrne zaobchádzajú s údajmi. Taktiež si môžete omylom stiahnuť podvodné aplikácie navrhnuté tak, aby vyzerali ako legitímne, a zadávať do nich osobné údaje.
• Backendové servery: Ako už bolo spomenuté, cloudové systémy poskytovateľov môžu uchovávať informácie o zariadení vrátane údajov o polohe a ďalších podrobností. Pre útočníkov, ktorí si chcú slušne zarobiť, ide o atraktívny cieľ. Okrem výberu renomovaného poskytovateľa s dobrými výsledkami v oblasti bezpečnosti toho veľa nezmôžete.
Nanešťastie, mnohé z uvedených situácií sa pretavili aj do praxe. Pred niekoľkými rokmi našli bezpečnostní výskumníci v inteligentných hodinkách pre deti početné zraniteľnosti, ktoré odhaľovali polohu a osobné údaje. Ešte predtým sa v rámci samostatného vyšetrovania zistilo, že mnohí výrobcovia posielali nezašifrované osobné údaje detí používajúcich tieto výrobky na servery v Číne.
Obavy z takýchto scenárov pretrvávajú dodnes, pričom výskum ukázal, že niektoré zariadenia, nad ktorými útočník prevezme kontrolu, dokážu používateľovi spôsobiť dokonca aj fyzickú bolesť. Ďalšia štúdia ukázala, že hackeri vedia meniť heslá, volať a posielať textové správy, ako aj získať prístup ku kamerám zariadení určených na kontrolu starších ľudí a detí.
Tipy ako zabezpečiť finess náramky a zariadenia
Našťastie existuje niekoľko možností, ako vyššie uvedené riziká minimalizovať. Tu je niekoľko tipov:
• Zapnite dvojfaktorové overovanie
• Použite heslo na zabezpečenie zamknutej obrazovky
• Upravte nastavenia na prechádzanie neoprávnenému spárovaniu zariadení
• Navštevujte len legitímne obchody s aplikáciami
• Pravidelne aktualizujte softvér vo vašom smartfóne
• Vyhnite sa jailbreaku/rootovaniu zariadenia
• Obmedzte povolenia aplikácií
• Na smartfón pripojený k fitness náramku nainštalujte overený bezpečnostný softvér
• Chráňte svoju inteligentnú domácnosť:
• Vyhnite sa synchronizácii nositeľných zariadení so svojimi vchodovými dverami
• So zariadeniami sa pripájajte len k zabezpečenej Wi-Fi sieti
• Pravidelne aktualizujte firmvér zariadení na najnovšiu verziu
• Zmeňte všetky predvolené heslá na vlastné
• Pri kúpe zariadenia si vyberte overeného výrobcu
• Pozorne si prejdite nastavenia ochrany súkromia a zabezpečenia, aby ste sa uistili, že sú správne nakonfigurované
Keďže sa nositeľné zariadenia stávajú bežnou súčasťou našich životov, sú o to atraktívnejším cieľom pre útočníkov. Pred kúpou si spravte prieskum trhu a po prvom spustení zariadenia uzatvorte čo najviac ciest potenciálnych útokov.
Viac informácií o tom, ako sa chrániť pred digitálnymi hrozbami, nájdete ľudskou rečou na stránke Bezpečne na nete.