+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Експерти Лабораторії Касперського з'ясували ризики використання розумного годинника

Експерти Лабораторії Касперського з'ясували ризики використання розумного годинника

Експерти «Лабораторії Касперського» з'ясували, які можливості відкриває аналіз сигналу пристроїв для потенційних зловмисників. Наприклад, отримавши доступ до розумного годинника, кіберзлочинці можуть зібрати беззвучні сигнали вбудованих в них сенсорів, вивчити їх і згодом отримати набір унікальних даних про власника. Вони дозволяють сформувати поведінковий профіль людини та зафіксувати моменти введення критично важливих даних: визначити, коли вона приходить на роботу, вводить пароль доступу від корпоративного комп'ютера, розблокує телефон. Зіставивши дані про переміщення користувача з координатами, можна також визначити моменти відвідування банку та введення ПІН-коду на клавіатурі банкомату.

У повсякденному житті багато хто регулярно користується «розумним» годинником та фітнес-трекерами. Більшість цих гаджетів вбудовані датчики прискорення (акселерометри), обертання (гіроскопи) і навіть магнітного поля (магнітометри). Записуючи сигнали із цих сенсорів, зловмисники можуть отримати доступ до особистої інформації користувача. Ось чому важливо приділяти увагу, начебто, менш очевидним потенційним джерелам кіберзагроз – пристроям інтернету речей.

"Розумні" пристрої, що носяться - не просто мініатюрні гаджети, це складні системи, які можуть записувати, зберігати і обробляти фізичні параметри користувача. Дослідження показало, що навіть найпростіші алгоритми, що запускаються на "розумному" годиннику, дозволяють сформувати унікальний поведінковий профіль людини за рахунок сигналів акселерометра та гіроскопа. Отримані дані можуть використовуватися для деанонімізації власника гаджета та відстеження його дій, включаючи введення конфіденційних відомостей.

Вірогідний сценарій використання носіїв зловмисниками пов'язаний із завантаженням на «розумний» годинник програми (наприклад, фітнес-трекера), який може відправляти на сервери кіберзлочинців пакети даних. Для більш точного профілювання жертви достатньо лише один раз відправити геопозицію власника IoT-пристрою або запросити дозвіл на отримання адреси його електронної пошти, після чого унікальна інформація про поведінку користувача та його конфіденційну інформацію потенційно стає легкою здобиччю. При цьому варто зазначити, що додатки, що допускають передачу даних акселерометрів та гіроскопів третім особам, на даний момент вважаються легітимними з точки зору магазинів додатків.

«Лабораторія Касперського» рекомендує власникам смарт-годинника звертати увагу на такі ознаки того, що їхні дані можуть перебувати під загрозою, і дотримуватися певних правил безпеки: якщо програма надсилає запит на отримання даних про обліковий запис користувача (дозвіл GET_ACCOUNTS в Android), це може означати, що зловмисник намагається зіставити «цифровий відбиток» з його власником; якщо додаток додатково запитує дозвіл на відправку геолокаційних даних – це привід насторожитися, не варто видавати фітнес-трекерам, які завантажуються на «розумний» годинник, зайвих дозволів, а також не рекомендується вказувати корпоративні електронні адреси при реєстрації; якщо справний пристрій тримає заряд замість доби всього кілька годин, не виключено, що сигнали вбудованих в нього сенсорів передаються на сервери кіберзлочинців.

 

Інші новини

Найкраща ціна