Annons

Att överväga var våra data kommer att läcka från är en svår uppgift. Vi vidtar nödvändiga försiktighetsåtgärder på våra enheter, installerar antivirusprogram, kör skanningar av skadlig programvara och förhoppningsvis dubbel- och trippelkontroll av e-post för allt misstänkt. Dessa är bara några av de potentiella attackvektorer som väntar oss.

Säkerhetsforskare har avslöjat att bortsett från våra "vanliga" enheter, en av de nyaste formerna av teknik kan ge angripare en oväntad men lättillgänglig vinkel att stjäla vår personlig information. Fitness trackers har nyligen kommit under säkerhetsstrålkastaren efter en teknisk rapport som lyfte fram en serie av allvarliga säkerhetsbrister i deras design, vilket teoretiskt gör det möjligt för potentiella angripare att fånga din personliga data.

Dödliga fitnessbrister

Fitness trackers har sett en enastående ökning av popularitet 17 bästa hälso- och fitnessapparater för att förbättra din kroppUnder de senaste åren har innovation kring hälso- och fitnessapparater exploderat. Här är bara några av de fantastiska bitarna du kan använda för att du ska känna dig bra.

instagram viewer
Läs mer under de senaste åren. Enbart i fjärde kvartalet 2015 ökade omsättningen med 197% från år till år, från 7,1 miljoner till 21 miljoner enheter. Marknadsanalytiker Parks Associates uppskatta den globala fitness tracker marknaden kommer att fortsätta växaoch ökade från 2 miljarder dollar 2014 till 5,4 miljarder dollar 2019. Detta är betydande vinster, vilket indikerar antalet användare som potentiellt utsätter sig för denna tidigare okända attackvektor.

Fitness Trackers ingår i studie #

Kanadensisk ideell forskningsorganisation Öppen effekt, och tvärvetenskapligt forskningslaboratorium Citizen Lab, undersökte åtta av de mest populära fitnessdräkter som för närvarande finns: Apple Watch, Basis Peak, the Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, Mio Fuse, Withings Pulse O2 och Xiaomi Mi Band.

De kombinerad forskningsrapport försökte upptäcka de teknikföretag som vidtar för att skydda och upprätthålla din datasäkerhet. Medan vi känner till och förstår träningsspårare kommer att samla hjärtslag, fotspår, kalorier och sömn data undersökte forskarna precis vad som händer med den informationen när den är i enhetens händer utvecklare.

Vilken information skickas till en fjärrserver? Hur säkrar teknikföretagen informationen? Vem delas det med? Hur använder företagen faktiskt informationen?

Viktiga resultat inkluderade:

  • Sju av åtta fitnessspårningsenheter avger ihållande unika identifierare (Bluetooth Media Access Control-adress) som kan utsätta sina bärare för långsiktig spårning av sin plats när enheten inte är ihopkopplad och ansluten till en mobil enhet.
  • Jawbone och Withings-applikationer kan utnyttjas för att skapa falska fitnessbandskivor. Sådana falska poster ifrågasätter tillförlitligheten för den användning av dataspårningsdatorer i rättsfall och försäkringsprogram.
  • Applikationerna Garmin Connect (iPhone och Android) och Withings Health Mate (Android) har säkerhetsproblem som gör det möjligt för en obehörig tredje part att läsa, skriva och ta bort användare data.
  • Garmin Connect använder inte grundläggande säkerhetsrutiner för dataöverföring för sina iOS- eller Android-applikationer och utsätter följaktligen fitnessinformation för övervakning eller manipulation.

Persistenta unika identifierare

Bärbar teknik avger en ihållande Bluetooth-signal. Oavsett om det är smartwatch eller fitness tracker, den här signalen används för att konsekvent kommunicera med din smartphone. Deras kommunikation med den externa enheten är upprätthålls med en MAC-adress (Media Access Control) IP- och MAC-adress: Vad är de bra för?Internet skiljer sig inte från den vanliga posttjänsten. I stället för en hemadress har vi IP-adresser. Istället för namn har vi MAC-adresser. Tillsammans får de informationen till din dörr. Här är ... Läs mer , unikt identifiera fitness tracker.

Exempel MAC-adress

Inom ramen för träningsspårare kräver personligt datasäkerhetsunderhåll att dessa adresser randomiseras för att säkerställa att användaren inte kan spåras och identifieras av MAC-adressen. Bluetooth-fyrvärden, som används med ökande frekvens i köpcentra för att skapa riktad mobilreklam, kan spåra och profilera dessa enheter med en enda MAC-adress (de kan också vara byggd av vem som helst med en lämplig, kompakt dator Bygg en DIY iBeacon med en hallonpiAnnonser riktade till en viss användare som går genom ett storstadscentrum är saker av dystopisk framtid. Men det är inte en dystopisk framtid alls: tekniken är redan här. Läs mer ). Av de testade enheterna randomiserade faktiskt bara Apple Watch sin MAC-adress "med cirka 10 minuters intervall" för att skydda användarens identitet.

Med den ihållande MAC-adressen loggad, kan användarens placering spåras från fyr till fyr. Om ett köpcentrum beslutar att samla in användarplatsinformation under hela sitt shoppingbesök, kan uppgifterna säljas till ett marknadsföringsbyrå eller annan datamäklare utan att först meddela användaren. Om en enda datamäklare kan köpa flera profiler kan information samlas in för att bygga sofistikerad riktade reklamprofiler, aktiverade varje gång användaren (och deras unika enhetsidentifierare) anger byggnad.

Apparna är lika dåliga

Varje fitness-tracker har en egen övervakningsapp som fångar mängden av fitnessrelaterade data och översätter den till en fin visuell bild av användarnas handlingar. Det har dock visat sig att apparna själva läcker personlig information på flera överföringsplatser.

Säkerhetsprotokoll för Fitness Tracker

Till exempel kan man förvänta sig att all överföring av personuppgifter skulle vara krypterad med HTTPS åtminstone Vad är HTTPS och hur man aktiverar säkra anslutningar per standardSäkerhetsproblem sprider sig vida och vida och har nått framstegen i de flesta allas sinne. Termer som antivirus eller brandvägg är inte längre konstigt ordförråd och förstås inte bara, utan används också av ... Läs mer ; Garmin Connect lyckades inte ens göra det och lämnade användardata passivt utsatta för en potentiell avlyssning.

På samma sätt, även om Bellabeat Leaf och Withings Health Mate kommunicerar med fjärrservrar med HTTPS, båda företag skickade vanlig textmeddelanden till användare för att bekräfta sina inloggningsuppgifter, vilket lämnar användare öppna för man-in-the-middle attacker. Alla angripare som har kunskap om Bellabeat eller Withings API kan komma åt ett brett utbud av personlig fitnessinformation på några minuter. Denna form av attack kan också användas för att driva skadlig eller falsk information till den bärbara eller användarens telefon också.

Datapåverkning

Tre av de träningsappar som observerades "var sårbara för en motiverad användare som skapade falskt genererade fitnessdata för sitt eget konto", som lurade företagsservrar att acceptera falska data. Öppen effekt och Citizen Lab skapade flera applikationer utformade för att lura fitness trackerservrarna att acceptera falsk information, med Bellabeat LEAF, Jawbone UP och Withings Health Mate som kommer kort.

"Vi skickade en begäran till Jawbone om att vår testanvändare tog tio miljarder steg på en enda dag"

Deras tillämpning fördelade jämnt stegtider i fasta intervaller över en önskad tidsram, vilket skapar en konstgjord fördelning av steg. Forskarna drog slutsatsen att ett mer sofistikerat tillvägagångssätt skulle "slumpmässigt fördela steg för att upprätta en mer realistisk utseende distribution" för att ytterligare upptäcka flykten

Varför är detta ett problem?

Fitness spårare kan upprätthålla en kontinuerlig ström av insamling av personuppgifter Hur mycket av dina personuppgifter kan smarta enheter spåra?Frågor om integritet och säkerhet för smarta hem är fortfarande lika verkliga som någonsin. Och även om vi älskar idén om smart teknik är detta bara en av många saker att vara medveten om innan du dyker ... Läs mer . Vanliga datainsamlingsvektorer inkluderar fotsteg, hjärtslag, sömnmönster, höjd, geolokationer, aktivitetskvalitet och typer av aktiviteter.

Några av träningsspårarna uppmuntrar sina användare att delta i ytterligare fitness eller sociala aktiviteter, som att specificera mat för kaloriförteckning och analys, personlig stämning vid specifika tidpunkter på dagen (även i relation till aktiviteter och mat konsumtion), för att logga sina fitnessmål 10 Excel-mallar för att spåra din hälsa och fitness Läs mer och spåra framsteg över tiden Spåra viktiga områden i ditt liv på en minut med Google-formulärDet är fantastiskt vad du kan lära dig själv när du tar dig tid att vara uppmärksam på dina dagliga vanor och beteenden. Använd de mångsidiga Google Forms för att spåra dina framsteg med viktiga mål. Läs mer , eller att tävla mot andra fitnessentusiaster i spelade sociala medier-stil dashbordmiljöer De bästa apparna för social fitness för att träna med vänner och familjSociala medier fitnessappar kan vara ett av de bästa sätten att hålla ansvariga för dina vänner, men du måste hitta den app som fungerar bäst för dig! Läs mer .

De frågor som tas upp av Öppen effekt och Citizen Lab illustrera farorna med att förlita sig på träningsspårare för att tillhandahålla tillförlitliga personuppgifter i en rad situationer. Fitness tracker-data har använts för att säkra försäkringar eller representera framsteg med medicinska problem, men vi ser dock att uppgifterna lätt kan förfalskas.

Dessutom gör dessa datafrågor själva naturen hos dessa fitness tracker-teknikföretag ifrågasatt? Hur översätter dessa dåliga försök till dataskydd till sina andra produkter? Problemet är inte bundet endast till fitness trackers, och mer bör göras av både medborgare och tillsynsmyndigheter för att säkerställa användardata skyddas hela tiden, så att vi inte finner hela branscher undergrävs av deras till synes bristande vård och diskretion med privata data.

Vad händer nu?

Rapportens resultat är tydliga: ökad säkerhet baserad på rekommendationerna från Öppen effekt och Citizen Lab. Personlig och privat säkerhet är allvarlig, och vi bör ta itu med frågor när de anländer. Men det är inte bara förbättrad säkerhet som behövs. Fitness tracker-användare måste förstå var deras data skickas till, var de lagras och vilka andra parter som har tillgång till dem.

Onus ligger på teknikföretagen att kommunicera med sina användare hela tekniska djupet övervakning de har förvärvat också, oavsett om de inser det eller inte, tillsammans med dess potential risker.

Är det dags att kasta din fitness tracker bort? Antagligen inte, särskilt om du har en Apple Watch Inte Apple Watch: 9 andra iPhone-vänliga WearablesTillkännagivandet av Apple Watch var stora nyheter, men det är långt ifrån den enda bärbara enheten utformad för att användas med en iPhone. Läs mer . Trots blandade reaktioner på resultaten från den tekniska rapporten från tillverkare av fitness tracker är det osannolikt att dessa sårbarheter kommer att finnas länge.

Eller så kan vi åtminstone hoppas att de inte kommer att existera länge.

Är du orolig för din fitness tracker? Har du tappat data genom bärbar teknik? Vad hände? Låt oss veta nedan!

Gavin är Senior Writer för MUO. Han är också redaktör och SEO-chef för MakeUseOfs kryptofokuserade systerwebbplats, Blocks Decoded. Han har en BA (Hons) samtidsskrift med digital konstpraxis pillerad från kullarna i Devon, och över ett decennium av professionell skrivupplevelse. Han tycker om stora mängder te.