Jauns pētījums liecina, ka viedpulksteņi var kļūt par to īpašnieku izspiegošanas rīkiem: ja savāc akselometra un žiroskopa klusos signālus, pēc analīzes tos var pārvērst par viedpulksteņa īpašnieka unikālu datu kopu. Ja šīs datu kopas tiek ļaunprātīgi izmantotas, ir iespējams izsekot lietotāja darbības, tostarp konfidenciālas informācijas ievadīšanu. Tas ir konstatēts Kaspersky Lab jaunajā analīzē par lietiskā interneta izplatīšanās iespējamo ietekmi uz lietotāju ikdienu un viņu informācijas drošību.
Pēdējos gados kiberdrošības nozare ir parādījusi, ka lietotāju privātie dati kļūst par ļoti vērtīgu preci to gandrīz neierobežoto noziedzīgās izmantošanas iespēju dēļ, sākot no sarežģītas kibernoziedznieku upuru digitālās profilēšanas līdz tirgus prognozēšanai pēc lietotāju uzvedības. Lai gan aug patērētāju paranoja attiecībā uz personas datu ļaunprātīgu izmantošanu un daudzi pievērš uzmanību tiešsaistes platformām un datu vākšanas metodēm, citi, mazāk acīmredzami, apdraudējumu avoti paliek neaizsargāti. Piemēram, lai palīdzētu īstenot veselīgu dzīvesveidu, daudzi no mums vingrošanas un sporta nodarbību pārraudzīšanai izmanto aktivitāšu reģistratorus. Taču tam var būt bīstamas sekas.
Valkājamās viedierīces, tostarp viedpulksteņi un aktivitāšu reģistratori, parasti tiek izmantoti sporta nodarbībās, lai uzraudzītu mūsu veselību, saņemtu pašpiegādes paziņojumus utt. Lai šīs ierīces varētu veikt savas pamatfunkcijas, lielākajā daļā no tām ir iebūvēti paātrinājuma sensori (akselometri), kas bieži ir apvienoti ar rotācijas sensoriem (žiroskopiem), soļu skaitīšanai un lietotāja pašreizējās pozīcijas noteikšanai. Kaspersky Lab eksperti nolēma pārbaudīt, kādu lietotāja informāciju šie sensori var sniegt nepilnvarotām trešām pusēm, un sīkāk aplūkoja dažus vairāku ražotāju viedpulksteņus.
Lai izpētītu problēmu, eksperti izstrādāja diezgan vienkāršu viedpulksteņa lietotni, kas ierakstīja signālus no iebūvētajiem akselometriem un žiroskopiem. Pēc tam ierakstītie dati tika saglabāti vai nu valkājamās ierīces atmiņā, vai arī augšupielādēti ar Bluetooth sapārotā mobilajā tālrunī.
Izmantojot valkājamās viedierīces datošanas jaudai pieejamus matemātiskos algoritmus, bija iespējams identificēt uzvedības modeļus, laikposmus, kad un kur lietotāji pārvietojās, un cik ilgi viņi to darīja. Galvenais, ka bija iespējams identificēt konfidenciālas lietotāju darbības, tostarp frāzveida paroles ievadīšanu datorā (ar precizitāti līdz 96 %), PIN koda ievadīšanu bankas automātā (aptuveni 87 %) un mobilā tālruņa atbloķēšanu (aptuveni 64 %).
Pati signālu datu kopa ir ierīces īpašniekam unikāls uzvedības modelis. To izmantojot, treša puse var iet tālāk un mēģināt noteikt lietotāja identitāti, vai nu izmantojot e-pasta adresi, kas tika pieprasīta reģistrācijas posmā lietotnē, vai arī caur ieslēgtu piekļuvi Android konta akreditācijas datiem. Pēcāk tas ir tikai laika jautājums, līdz tiek identificēta sīkāka informācija par upuri, tostarp viņa dienaskārtība un laiks, kad viņš ievada svarīgus datus. Ņemot vērā lietotāju personas datu augošo cenu, mēs varam drīz atrasties pasaulē, kur trešas puses monetizē šo kanālu.
Pat ja šis mūķis netiek kapitalizēts, bet kibernoziedznieki to izmanto saviem ļaunajiem nolūkiem, varbūtējās sekas ierobežo tikai viņu iztēle un tehnisko zināšanu līmenis. Piemēram, viņi var atšifrēt saņemtos signālus, izmantojot neironu tīklus, uzglūnēt upuriem vai uzstādīt datsmēlēju upuru iecienītajos bankas automātos. Mēs jau iztēlojamies, kā noziedznieki var sasniegt 80 % precizitāti, cenšoties atšifrēt akselometra signālus, un noteikt paroli vai PIN kodu, izmantojot tikai no viedpulksteņa sensoriem savāktos datus.
«Valkājamās viedierīces nav tikai miniatūri rīki, tās ir kiberfiziskas sistēmas, kas var ierakstīt, uzglabāt un apstrādāt fiziskos parametrus. Mūsu pētījums liecina, ka pat ļoti vienkārši algoritmi, kas tiek palaisti pašā viedpulkstenī, spēj reģistrēt lietotāja unikālo akselometra un žiroskopa signālu profilu. Šos profilus pēc tam var izmantot, lai deanonimizētu lietotāju un izsekotu viņa darbības, tostarp brīžus, kad tiek ievadīta konfidenciāla informācija. Un to var izdarīt ar likumīgām viedpulksteņu lietotnēm, kas slepeni nosūta signālu datus trešām pusēm,» sacīja Kaspersky Lab pētījuma līdzautors un drošības entuziasts Sergejs Lurjē.
Kaspersky Lab pētnieki iesaka lietotājiem pievērst uzmanību šādām īpatnībām, kad viņi valkā viedierīces.
• Ja lietotne sūta pieprasījumu, lai iegūtu lietotāja konta informāciju, tas ir pamats bažām, jo noziedznieki var viegli izveidot tā īpašnieku identificējošu ciparvirkni.
• Ja lietotne pieprasa arī atļauju sūtīt ģeogrāfiskās atrašanās vietas datus, ir jāuztraucas. Nepiešķiriet papildu atļaujas viedpulkstenī lejupielādētajiem aktivitāšu reģistrētājiem un par pieteikumvārdu neizmantojiet savu darba e-pasta adresi.
• Ātrs ierīces akumulatora enerģijas patēriņš arī ir nopietns pamats bažām. Ja ierīce izlādējas dažās stundās, nevis dienas laikā, ir jāpārbauda, ko tā patiesībā dara. Tā var ierakstīt signālu žurnālus vai, vēl sliktāk, tos kaut kur nosūtīt.