+38/044/257-2444
+38/067/502-3306
+38/050/370-3627
Новости

Эксперты Лаборатории Касперского выяснили риски использования умных часов

Эксперты Лаборатории Касперского выяснили риски использования умных часов

Эксперты «Лаборатории Касперского» выяснили, какие возможности открывает анализ сигнала носимых устройств для потенциальных злоумышленников. Например, получив доступ к умным часам, киберпреступники могут собрать беззвучные сигналы встроенных в них сенсоров, изучить их и впоследствии получить набор уникальных данных о владельце. Они позволяют сформировать поведенческий профиль человека и зафиксировать моменты ввода критически важных данных: определить, когда он приходит на работу, вводит пароль доступа от корпоративного компьютера, разблокирует телефон. Сопоставив данные о перемещении пользователя с координатами, можно также определить моменты посещения банка и ввода ПИН-кода на клавиатуре банкомата.

В повседневной жизни многие регулярно пользуются «умными» часами и фитнес-трекерами. В большинство этих гаджетов встроены датчики ускорения (акселерометры), вращения (гироскопы) и даже магнитного поля (магнитометры). Записывая сигналы с этих сенсоров, злоумышленники могут получить доступ к личной информации пользователя. Вот почему важно уделять внимание, казалось бы, менее очевидным потенциальным источникам киберугроз – устройствам интернета вещей.

"Умные" носимые устройства – не просто миниатюрные гаджеты, это сложные системы, которые могут записывать, хранить и обрабатывать физические параметры пользователя. Исследование показало, что даже самые простые алгоритмы, запускаемые на "умных" часах, позволяют сформировать уникальный поведенческий профиль человека за счет сигналов акселерометра и гироскопа. Полученные данные могут использоваться для деанонимизации владельца гаджета и отслеживания его действий, включая ввод конфиденциальных сведений.

Вероятный сценарий использования носимых устройств злоумышленниками связан с загрузкой на «умные» часы приложения (например, фитнес-трекера), которое может отправлять на серверы киберпреступников пакеты данных. Для более точного профилирования жертвы достаточно всего один раз отправить геопозицию владельца IoT-устройства или запросить разрешение на получение адреса его электронной почты, после чего уникальные сведения о поведении пользователя и его конфиденциальная информация потенциально становится легкой добычей. При этом стоит отметить, что приложения, допускающие передачу данных акселерометров и гироскопов третьим лицам, на данный момент считаются легитимными с точки зрения магазинов приложений.

«Лаборатория Касперского» рекомендует владельцам смарт-часов обращать внимание на следующие признаки того, что их данные могут находиться под угрозой, и соблюдать определенные правила безопасности: если приложение отправляет запрос на получение данных об аккаунте пользователя (разрешение GET_ACCOUNTS в Android), это может означать, что злоумышленник пытается сопоставить «цифровой отпечаток» с его владельцем; если приложение дополнительно запрашивает разрешение на отправку геолокационных данных – это повод насторожиться, не стоит выдавать фитнес-трекерам, загружаемым на «умные» часы, лишних разрешений, а также не рекомендуется указывать корпоративные электронные адреса при регистрации; если исправное носимое устройство держит заряд вместо суток всего несколько часов, не исключено, что сигналы встроенных в него сенсоров передаются на серверы киберпреступников.

 

Другие новости