Всеки ден, милиони хора по целия свят, активно регистрират всеки един аспект от живота, мислите, преживяванията и постиженията си. Тази дейност е позната като Измери себе си (Quantified Self). Хората активно ангажирани да измерват себе си правят това поради множество причини. Предвид количеството информация, която бива генерирана, прехвърляна и съхранявана на най-различни местонахождения, то сигурността и предпазването на личните данни са неща от първостепенно значение за потребителите на тези устройства и апликации.
Symantec откри рискове за сигурността при голям брой от устройствата и апликациите за измерване. Едно от най-значимите открития е, че всички проверени устройства за носене, проследяващи извършената дейност, включително устройствата произведени от водещи марки, са уязвими по отношение проследяване на местонахождението.
Изследователите на Symantec сглобиха множество сканиращи устройства с помощта на Raspberry Pi мини-компютри. Когато занесоха тези мини-компютри на спортни събития или на места, на които се събират много хора, те установиха, че проследяването на даден човек е лесно постижимо.
Symantec също така откри уязвимости що се касае до това, как личните данни се съхраняват и управляват – като например пароли, които се прехвърлят в чист текст, както и лошо управление на сесиите.
Как действат системите, при които измерваш себе си?
Много от хората измерващи себе си, правят това посредством устройства като например електронни гривни, смарт часовници, медальони, дори чрез смарт дрехи. Обикновено, тези джаджи съдържат много на брой сензори, процесор, памет, както и комуникационен интерфейс. Тези устройства позволяват на потребителя без особени усилия да събира, съхранява, и прехвърля данни към друг компютър, който да обработва и анализира тези данни.
Въпреки нарастващия брой устройства конкретно направени за дадена цел, смартфоните си остават може би най-използвания начин хората да измерват себе си. Модерният смартфон е оборудван с богата гама разнообразни сензори, които могат да се използват от различни приложения за измерване. Много хора носят смартфоните със себе си, а с навлизането на различни безплатни приложения, които позволяват да измериш себе си, за потребителите е вече много лесно да се проследяват.
За да измерят себе си, потребителите трябва просто да изберат и инсталират конкретно приложение, да си направят регистрация и да започнат да се измерват. В края на всяка една сесия, потребителят може да види и синхронизира събраните за съхранение на облачен сървър данни.
Добре тогава, колко безопасно е вашето измерване?
Когато предоставяме на доставчиците на услуги лични данни и данни от измерването си, прекалено много ли им се доверяваме? Как може да сме сигурни, че те предприемат необходимите действия за предпазване на нашата лична информация? За да изясним това, ние проверихме какво точно се случва в момента в сферата на личното измерване. Направихме задълбочено проучване какво правят търговците, като разгледахме детайлно някои от най-популярните на пазара устройства за измерване и апликации.
Прихващане местонахождението на устройствата за носене
Всички устройства за носене могат да бъдат проследени или локализирани посредством безжичните мрежи.
На пазара са налични много на брой проследяващи спортната дейност устройства. Обикновено тези устройства съдържат сензори, които улавят движенията, но повечето от тях не са предназначени за проследяване на местонахождение. Събраните от тези устройства данни в повечето случаи трябва да се синхронизират към друго устройство или компютър, за да могат да бъдат прегледани. За повече удобство, много от производителите използват Bluetooth Low Energy, за да може устройството по безжичен път да синхронизира данните към смартфон или компютър. Това удобство обаче има своята цена – устройството може да предава информация, която да позволи то да бъде проследено от едно местонахождение до друго.
За да направим тест на това, как тези устройства могат да бъдат проследени, ние сглобихме няколко преносими сканиращи Bluetooth устройства, като използвахме Raspberry Pi мини-компютри и компоненти като Bluetooth 4.0 адаптор, батерия и SD карта. Всички тези компоненти могат да бъдат закупени от търговската мрежа. Използвахме свободен софтуер (open source software)и потребителски скриптове (custom scripting). Цената на всяко устройство не надвишаваше 75 щатски долара и всеки с основни познания по ИТ бе в състояние да го сглоби.
Преносимите скенери бяха занесени на различни места в Ирландия и Швейцария, където ние се разходихме с тях, за да видим какви резултати ще се получат. Също така ги занесохме и на голямо спортно мероприятие, където ги оставихме в статично положение и така успяхме да проследим състезателите по време на състезанието. Скенерите работеха по пасивен начин и не са правени опити да се осъществи връзка до установените на терена устройства. Те просто сканираха честотите за сигнали идващи от устройства.
Направеният от нас тест установи, че всички засечени устройства могат лесно да се проследят посредством уникалния хардуер адрес, който те излъчват. Някои от устройствата (в зависимост от конфигурацията) може да разрешат отдалечено разпознаване, чрез което се предоставя информация за устройството на трети страни (намиращи се на близко разстояние, без да е налице физически контакт), като например сериен номер, или комбинация от характеристики.
От резултатите на проучването става ясно, че производителите на тези устройства (включително водещи на пазара компании), не са обърнали сериозно внимание на поверителността при носенето на техните продукти. В резултата на това, устройствата, съответно и носещите ги, могат лесно да бъдат проследени от някого с малко познания и наличие на няколко евтини устройства.
Защо да се притесняваме от това?
Възможно е крадци или други натрапници, да използват тази информация за засичане на местонахождението с недобросъвестна цел. Известен факт е, че крадците използват системи за проследяване на местонахождението, за да знаят, кога потенциалната жертва не си е у дома.
Прехвърляне на данни за проследяването и лични данни в чист текст
20 процента от приложенията прехвърлят данни на потребителя в чист текст.
Много от апликациите и услугите за измерване имат компонент базиращ се на облачен сървър, където потребителите качват и държат данните събрани от апликациите и услугите, които използват. Освен данните за активностите, някои услуги също така събират и много друга лична информация, като дата на раждане, адрес, снимки и други лични данни. За да предпазят от неоторизиран достъп до данните на потребителите, всички тези услуги изискват акаунти, които имат потребителско име и парола.
Проблемът, който ние установихме е, че много от тези апликации и услуги не управляват предоставените им данни по сигурен начин. Това дава лесен достъп на атакуващия до данните.
Защо да се притесняваме от това?
Прехвърлянето на данни в чист текст, може да бъде изключително неприятно, тъй като откраднатите данни от една услуга е възможно да се използват отново за достъп до много по-чувствителни услуги като имейл или акаунти за онлайн пазаруване.
Липса на политики за конфиденциалност
52 процента от проверените апликации нямаха политики за конфиденциалност.
Апликациите и услугите за измерване са създадени да събират и анализират лична информация. Затова е логично да се очаква и законово да се изисква в много случаи (например Online Privacy Protection Act 2003) от компаниите, които събират и управляват лични данни, да имат политика за конфиденциалност.
Въпреки важността на политиката на конфиденциалност, повечето апликации, които проверихме не притежаваха такава.
Защо да се притесняваме от това?
Липсата на политика за конфиденциалност, може да бъде възможен индикатор за това как се гледа на сигурността на онлайн услугите за измерване. Добре е потребителите да вземат под внимание преди да се запишат за някакъв вид услуга.
Други слабости по отношение сигурността
При всяка услуга, при която се споделя, потребителските имена се използват с цел ние да сме отделна единица от другите. Сесиите се използват да управляват потока и обработката на данни, така че потребителите да могат да влизат само там, до където имат достъп. Слабото управление на сесиите може да се използват от кибер-престъпниците за открадване на сесии. По този начин, кибер-престъпниците се представят за някои от потребителите.
По време на нашето проучване, ние се натъкнахме на интернет страници, които не работеха правилно със сесиите на потребителите. При една от тези страници бе възможно да се разгледат личните данни на други потребители.
Защо да се притесняваме от това?
Лошо направените или внедрени системи, могат да допринесат за уязвимости от които да се възползват атакуващите. Това може да доведе и до пълното компрометиране на данните на потребителя.
Какво може да направите?
На пръв поглед, измерването и поверителността нямат много общо. Как може да записваме неща за себе си и в същото време да запазваме поверителността? Предвид казусите, на които сме били свидетели що се отнася до защитата и конфиденциалността, логичното заключение е, че ако цените личните си данни, тогава въобще недейте да се измервате!
Въпреки потенциалните рискове по отношение сигурността и конфиденциалността , движението на тези, които измерват себе си продължава активно да се разраства и се очаква през следващите години тази тенденция да се запази. За да сме сигурни, че потребителите могат спокойно да се измерват, препоръчваме те да предприемат някои основни мерки за сигурност, които помагат да предпазят личните им данни и данните им от измерванията от риск.
• Заключвайте екрана или използвайте парола, за да се предпазите от чужд достъп до вашето устройство
• Не използвайте едно и също потребителско име и парола за различни сайтове
• Използвайте силни пароли
• Изключвайте Bluetooth, когато не ви е необходим
• Бъдете внимателни с интернет страници и услуги, които изискват ненужна или прекалено много информация
• Внимавайте, когато споделяте в социалните мрежи
• Избягвайте да споделяте информация за местонахождението си в социалните мрежи
• Избягвайте апликации и услуги, които нямат политика за конфиденциалност
• Четете внимателно политиката за конфиденциалност на апликациите и услугите
• Когато се появят, инсталирайте ъпдейтите на приложенията и операционната система
• Използвайте кодиране на устройството, ако е възможно
