Hakovanje fitnes narukvica

Vesti, 30.03.2015, 00:00 AM

Fitnes pratioci svih oblika postali su izuzetno popularni. Oni pomažu ljudima da upravljaju svojim fizičkim aktivnostima, unosom kalorija i da ostanu u formi. Međutim, ovakvi uređaji takođe obrađuju lične podatke o korisnicima i bitno je da ti podaci budu zaštićeni. Istraživač kompanije Kaspersky Lab, Roman Unuček, ispitao je kako je određeni broj fitnes narukvica povezan sa pametnim telefonima i došao je do iznenađujućih rezultata.

Njegova priča počinje kada je dobio fitnes narukvicu poznatog proizvođača. Unuček je instalirao Android Wear aplikaciju namenjenu nosivim uređajima, koja se lako povezuje sa fitnes narukvicom. A onda je primetio nešto čudno: program se povezao sa Nike+ Fuel Band SE, a to nije bila marka njegove narukvice. Unuček je tada shvatio da njegov kolega ima Nike narukvicu, i da on uopšte nije primetio da se Unuček povezao sa njegovim uređajem. To ga je nateralo da istraži koliko je njegova fitnes narukvica bezbedna, i evo šta je Unuček otkrio.

Metod provere identiteta koji je implementiran na nekoliko popularnih pametnih narukvica dozvoljava trećim licima da se nevidljivo povežu sa uređajem, obavljaju naredbe i u nekim slučajevima da izvuku informacije koje se nalaze na uređajima. U uređajima koji su bili ispitivani u ovom istraživanju, ovakvi podaci bili su ograničeni količinom koraka koje je napravio vlasnik u prethodnih sat vremena. Međutim, u budućosti će se pojaviti nove generacije fitnes narukvica koje će biti sposobne da sakupe veliku količinu značajnijih informacija i to povećava rizik od pojave osetljivih medicinskih podataka o vlasniku u javnosti.

Maliciozna konekcija je omogućena zbog načina na koji je narukvica povezana sa pametnim telefonom. Prema istraživanju, uređaj baziran na Androidu koji radi sa Android 4.3 ili nekom novijom verzijom, može da se poveže pomoću specijalne neautorizovane aplikacije sa narukvicom određene marke. Da bi bila uspostavljena konekcija, korisnici moraju da potvrde povezivanje pritiskom na dugme na svojoj narukvici. Napadači lako mogu da predusretnu ovu aktivnost, jer većina modernih fitnes narukvica nema ekran. Kada narukvica počne da vibrira i traži od svog vlasnika da potvrdi povezivanje, žrtva nikako ne može da sazna da li potvrđuju povezivanje sa svojim uređajem ili nečijim tuđim.

Uz pomoć aplikacije koju je sam razvio, Unuček se za samo 6 sati skeniranja, povezao sa 54 uređaja.

„Ovakvi napadi zavise od mnogo uslova, ali na kraju krajeva, napadač sada ne bi mogao da sakupi kritične podatke, kao što su šifre ili brojevi kreditnih kartica. Ipak, ovo pokazuje da postoji način za napadače da iskoriste greške koje nisu popravljene u toku razvoja ovih uređaja. Fitnes pratioci koji su dostupni danas i dalje nisu u potpunosti „pametni” - mogu da broje korake i da prate cikluse spavanja, ali ne mnogo više od toga. Međutim, sledeća generacija ovakvih uređaja uskoro dolazi, i ona će biti u mogućnosti da sakupi mnogo više informacija o svojim korisnicima. Bitno je da se razmišlja o sigurnosti ovih uređaja sada, da bismo bili sigurni da postoji odgovarajuća zaštita procesa povezivanja fitnes pratioca i pametnih telefona”, rekao je Roman Unuček, viši analitičar štetnih softvera kompanije Kaspersky Lab.

Stručnjaci kompanije Kaspersky Lab savetuju korisnike pametnih narukvica koji su zabrinuti za sigurnost svojih uređaja da se obrate prodavcima uređaja o potencijalnim mogućnostima napada na njihove uređaje.

Više o istraživanju Romana Unučeka možete pročitati u članku na sajtu Securelist.com.