היזהר! מעקב הכושר שלך יכול לדלוף את המידע הבריאותי שלך

כשאתה פוגע ב -10, 000 צעדים או מגיע למטרת אימון אחר אחר כושר, אתה רוצה לחלוק את ההישגים שלך עם חברים, נכון? תלוי באיזה מכשיר אתה משתמש, יתכן שאתה משתף את המידע הפרטי שלך עם העולם, או עם כל האנשים הסמוכים. חוקרים במכון AV-Test ניתחו את ביטחונם של תשעה מאמני כושר פופולריים, וחלק מהממצאים שלהם לא היו יפים.

בקיצור, Fitbit Charge ו- Acer Liquid Leap כלל לא מאבטחים את חיבורי ה- Bluetooth שלהם. פירוש הדבר שהנתונים שלך כפופים למחיקה. Jawbone Up24 ו- Sony Smartband Talk SWR30 עשו את העבודה הטובה ביותר בהגנה על נתוני המשתמש.

כמובן שנבדק רק פריט אחד בקו המוצרים של כל חברה, אך זהירות מכתיבה את ההנחה שהממצאים חלים על כל גווניה. רק בגלל שיש לך מתח של Fitbit ולא חיוב של Fitbit לא אומר שאתה בטוח.

למי איכפת?

אבל רגע, אתה יכול לומר, לא אכפת לי מי יראה את הנתונים שלי; אני גאה בכושר שלי! הדו"ח מציין לא מעט סיבות שגישה זו עשויה להיות נאיבית. לדוגמה, חלק ממבטחי הבריאות מציעים שיעורים נמוכים יותר ללקוחות שמוכיחים את כושרם באמצעות גשש. משתמש חסר מצפון יכול לחטוף נתונים של שכן טוב יותר בכדי להשיג את השיעור הנמוך יותר, או לגנוב את הנתונים ולהחזיק אותם כופר.

אם נתוני המכשיר אינם מאובטחים, ניתן בהחלט לשנות אותם מבחוץ. "לא יעבור זמן רב וילדים ישחקו מעשי קונדס על יאפי הג'וגינג על ידי הגדלת נתוני לחץ הדם והדופק שלו בכמה חריצים, " מציין הדו"ח, "ובכך יניחו להיפוכונדרים דברים נוספים שיש לדאוג להם." אכן, הדו"ח מפרט באיזו קלות הצליחו החוקרים להשתלט על מכשיר מסוים.

הפקרות Bluetooth

כל הגששים שנבדקו משתמשים ב- Bluetooth כדי להתחבר לאפליקציית אנדרואיד. כאשר מיושמים כראוי, התאמת Bluetooth יכולה להיות די בטוחה. Sony Smartband Talk SWR30, Polar Loop ו- Withings Pulse Ox הופכים לבלתי נראים למכשירים אחרים ברגע שהותאמו לטלפון שלך. Garmin Vivosmart ו- Huawei TalkBand B1 דורשים אימות לצורך התאמה. Jawbone Up24 ו- LG Lifeband Touch FB84 עוברים רחוק יותר, הדורשים גישה פיזית למכשיר לצורך התאמה.

השניים הנותרים, Acer Liquid Leap ו- Fitbit Charge, אינם מאבטחים את החיבור BlueTooth כלל. מטען Fitbit בפרט יתאים לכל מכשיר Bluetooth שנמצא בטווח, ונתוני הטקסט הרגיל אינם מוגנים כלל. מוצרי עצם הלסת וה- Huawei אינם פתוחים כל כך רחבים, אך הם יתאימו ליותר ממכשיר אחד. באשר ל- Acer Liquid Leap, נראה שהוא דורש אימות באמצעות קוד PIN, אך הקוד נגזר באופן סטטי משמו הציבורי של המכשיר.

אבטחת האפליקציה

תוכנות אנדרואיד שונות מתוכנות ההפעלה שהורכבו תחת Windows. כל אחד יכול לפרק תוכנית אנדרואיד בחזרה לקוד המקור שלה באמצעות כלים זמינים. האקר יכול להשתמש בקוד המקור הזה כדי לקבוע כיצד אפליקציית כושר מתקשרת עם הגשש המתאים לו, ולכתוב אפליקציה מזויפת שתשתלט על אותה תקשורת.

מתכנתי אנדרואיד חכמים משתמשים בכלים וטכניקות כדי לערפל את קוד התוכנית, מה שמקשה על הנדסת רוורס. הם גם מכבים תכונות רישום שימושיות במהלך יצירת התוכנית, אך המסלקים את פרטי האפליקציה הפנימיים. וכמובן שהם מורכבים את הגרסה הסופית עם ניפוי באגים כבוי.

רק שניים מהמוצרים שנבדקו, Jawbone Up24 ו- Sony Smartband Talk SWR30, השתמשו בשלוש הטכניקות הללו. Huawei ו- Withings שיחררו קוד ניפוי עם כניסה רישומה, והפעילו רק ערפול מוגבל. Acer ו- LG Lifeband לא עשו שום ניסיון לסכל הנדסת רוורס.

החוקרים של AV-Test יצרו בקלות אפליקציה מזויפת שיכולה למצוץ נתונים ממכשיר ה- Acer. הם אפילו הצליחו לשנות את הרשומות הפנימיות של המכשיר, כך ש"אימון היום הושלם תוך מספר שניות בלבד, מבלי לשבור זיעה."

חדשות רעות, חדשות טובות

אם השתרשת את הטלפון שלך, אתה פגיע בהרבה מכל מיני פריצות, כולל פריצות גשש כושר. החדשות הטובות הן שכל המכשירים שנבדקו אוגרים נכון את הנתונים שלהם בזיכרון מוגן. החדשות הרעות הן שאם השתרשתם את הטלפון שלכם, הזיכרון הזה כבר לא מוגן.

חדשות טובות יותר - כל היישומים שנבדקו הגנו כראוי על הנתונים שלהם במעבר לענן. הם הצפנו את הנתונים והעבירו אותם באמצעות

• מעקבי הכושר הטובים ביותר לשנת 2019 מעקבי הכושר הטובים ביותר לשנת 2019
• עצם הלסת UP24
• Withings Pulse O2 Withings Pulse O2
• סוני SmartBand SWR10 -

הזוכים והמפסידים

הדו"ח המלא עוסק בפירוט בדבר מה למדו החוקרים, והוא מראה כי האבטחה הזמינה בתחום מוצר זה משתנה מאוד. תרשים שימושי מזהה 11 נקודות חשובות לאבטחת גשמי כושר. בחלקו העליון, Sony Smartband Talk SWR30 של Sony החמיץ רק אחת - אינך יכול להשבית את Bluetooth מהגשש. Polar Loop החטיאה את אותה נקודה, וגם לא עשתה הכל אפשרי נגד הנדסת רוורס, אבל זה עדיין די טוב.

בקצה השני של הספקטרום, Acer Liquid Leap החמיץ תשע מתוך 11 הנקודות. הוא קיבל זיכוי על שמירת נתונים בזיכרון מוגן ואשראי חלקי לשמירה על תקשורת פנימית; זה הכל. מטען Fitbit החמיץ שמונה רכיבי אבטחה, כולל כל אלה הקשורים להגנה על תקשורת בלוטות '.

צוות AV-Test הודיע ​​רשמית לכל הספקים על ממצאיהם. הם מתכננים חקירות נוספות לאחר שהספקים הספיקו להעלות את משחק האבטחה שלהם.