Эксперты Лаборатории Касперского выяснили риски использования умных часов

Эксперты «Лаборатории Касперского» выяснили, какие возможности открывает анализ сигнала носимых устройств для потенциальных злоумышленников. Например, получив доступ к умным часам, киберпреступники могут собрать беззвучные сигналы встроенных в них сенсоров, изучить их и впоследствии получить набор уникальных данных о владельце. Они позволяют сформировать поведенческий профиль человека и зафиксировать моменты ввода критически важных данных: определить, когда он приходит на работу, вводит пароль доступа от корпоративного компьютера, разблокирует телефон. Сопоставив данные о перемещении пользователя с координатами, можно также определить моменты посещения банка и ввода ПИН-кода на клавиатуре банкомата.

В повседневной жизни многие регулярно пользуются «умными» часами и фитнес-трекерами. В большинство этих гаджетов встроены датчики ускорения (акселерометры), вращения (гироскопы) и даже магнитного поля (магнитометры). Записывая сигналы с этих сенсоров, злоумышленники могут получить доступ к личной информации пользователя. Вот почему важно уделять внимание, казалось бы, менее очевидным потенциальным источникам киберугроз – устройствам интернета вещей.

"Умные" носимые устройства – не просто миниатюрные гаджеты, это сложные системы, которые могут записывать, хранить и обрабатывать физические параметры пользователя. Исследование показало, что даже самые простые алгоритмы, запускаемые на "умных" часах, позволяют сформировать уникальный поведенческий профиль человека за счет сигналов акселерометра и гироскопа. Полученные данные могут использоваться для деанонимизации владельца гаджета и отслеживания его действий, включая ввод конфиденциальных сведений.

Вероятный сценарий использования носимых устройств злоумышленниками связан с загрузкой на «умные» часы приложения (например, фитнес-трекера), которое может отправлять на серверы киберпреступников пакеты данных. Для более точного профилирования жертвы достаточно всего один раз отправить геопозицию владельца IoT-устройства или запросить разрешение на получение адреса его электронной почты, после чего уникальные сведения о поведении пользователя и его конфиденциальная информация потенциально становится легкой добычей. При этом стоит отметить, что приложения, допускающие передачу данных акселерометров и гироскопов третьим лицам, на данный момент считаются легитимными с точки зрения магазинов приложений.

«Лаборатория Касперского» рекомендует владельцам смарт-часов обращать внимание на следующие признаки того, что их данные могут находиться под угрозой, и соблюдать определенные правила безопасности: если приложение отправляет запрос на получение данных об аккаунте пользователя (разрешение GET_ACCOUNTS в Android), это может означать, что злоумышленник пытается сопоставить «цифровой отпечаток» с его владельцем; если приложение дополнительно запрашивает разрешение на отправку геолокационных данных – это повод насторожиться, не стоит выдавать фитнес-трекерам, загружаемым на «умные» часы, лишних разрешений, а также не рекомендуется указывать корпоративные электронные адреса при регистрации; если исправное носимое устройство держит заряд вместо суток всего несколько часов, не исключено, что сигналы встроенных в него сенсоров передаются на серверы киберпреступников.