Video: SMART WATCH DEMONSTRATION AND REVIEW BINGO FITNESS TRACKER (Ottobre 2024)
Quando fai 10.000 passi o raggiungi un altro obiettivo di fitness tracker, vuoi condividere i tuoi risultati con gli amici, giusto? A seconda del dispositivo utilizzato, potresti anche condividere le tue informazioni private con il mondo o con chiunque nelle vicinanze. I ricercatori dell'AV-Test Institute hanno analizzato la sicurezza di nove famosi fitness tracker e alcune delle loro scoperte non sono state carine.
In breve, Fitbit Charge e Acer Liquid Leap non proteggono affatto le loro connessioni Bluetooth. Ciò significa che i tuoi dati sono soggetti a scorrimento. Jawbone Up24 e Sony Smartband Talk SWR30 hanno fatto il miglior lavoro di protezione dei dati dell'utente.
Naturalmente è stato testato solo un articolo nella linea di prodotti di ciascuna società, ma la prudenza impone che i risultati si applichino a tutti i livelli. Solo perché hai un Fitbit Surge e non un Fitbit Charge non significa che sei al sicuro.
Che importa?
Ma aspetta, potresti dire, non mi interessa chi vede i miei dati; Sono orgoglioso della mia forma fisica! Il rapporto rileva alcune ragioni per cui questo atteggiamento può essere ingenuo. Ad esempio, alcuni assicuratori sanitari offrono tariffe più basse ai clienti che dimostrano la propria idoneità utilizzando un tracker. Un utente senza scrupoli potrebbe dirottare i dati di un vicino più in forma per ottenere il tasso più basso o rubare i dati e conservarli per il riscatto.
Se i dati del dispositivo non sono protetti, potrebbero essere modificati dall'esterno. "Non passerà molto tempo prima che i bambini facciano scherzi sull'yuppie da jogging aumentando la pressione sanguigna e i dati del polso di alcune tacche", osserva il rapporto, "dando così agli ipocondriachi ancora più cose di cui preoccuparsi". In effetti, il rapporto descrive in dettaglio la facilità con cui i ricercatori sono riusciti a rilevare un determinato dispositivo.
Promiscuità Bluetooth
Tutti i tracker testati utilizzano il Bluetooth per connettersi con un'app Android. Se correttamente implementato, l'accoppiamento Bluetooth può essere abbastanza sicuro. Sony Smartband Talk SWR30, Polar Loop e Withings Pulse Ox diventano invisibili ad altri dispositivi una volta associati al telefono. Garmin Vivosmart e Huawei TalkBand B1 richiedono l'autenticazione per l'associazione. Jawbone Up24 e LG Lifeband Touch FB84 vanno oltre, richiedendo l'accesso fisico al dispositivo per l'accoppiamento.
I restanti due, Acer Liquid Leap e Fitbit Charge, non proteggono affatto la connessione BlueTooth. Fitbit Charge, in particolare, si accoppierà con qualsiasi dispositivo Bluetooth che si trova nel raggio d'azione e i dati in chiaro non sono affatto protetti. I prodotti Jawbone e Huawei non sono così spalancati, ma si accoppieranno con più di un dispositivo. Per quanto riguarda Acer Liquid Leap, sembra richiedere l'autenticazione utilizzando un codice PIN, ma il codice deriva staticamente dal nome pubblico del dispositivo.
Protezione dell'app
I programmi Android sono diversi dai programmi eseguibili compilati eseguiti su Windows. Chiunque può decompilare un programma Android al suo codice sorgente utilizzando strumenti prontamente disponibili. Un hacker potrebbe utilizzare quel codice sorgente per determinare il modo in cui un'app di fitness comunica con il suo tracker corrispondente e scrivere un'app contraffatta per assumere quella comunicazione.
I programmatori Android intelligenti utilizzano strumenti e tecniche per offuscare il codice del programma, rendendo difficile il reverse engineering. Inoltre disattivano le funzionalità di registrazione utili durante la creazione del programma, ma che forniscono dettagli interni all'app. E ovviamente compilano la versione finale con il debug disattivato.
Solo due dei prodotti testati, Jawbone Up24 e Sony Smartband Talk SWR30, hanno utilizzato tutte e tre queste tecniche. Huawei e Withings hanno rilasciato il codice di debug con la registrazione attivata e applicato solo un offuscamento limitato. Acer e LG Lifeband, non hanno tentato di ostacolare il reverse engineering.
I ricercatori di AV-Test hanno facilmente creato un'app falsa che potrebbe aspirare i dati dal dispositivo Acer. Sono anche riusciti a modificare i record interni del dispositivo, in modo che "l'allenamento della giornata è stato completato in pochi secondi, senza sudare".
Cattive notizie, buone notizie
Se hai effettuato il root del tuo telefono, sei molto più vulnerabile a tutti i tipi di hacking, incluso l'hacking del fitness tracker. La buona notizia è che tutti i dispositivi testati memorizzano correttamente i loro dati nella memoria protetta. La cattiva notizia è che se hai effettuato il root del tuo telefono, quella memoria non è più protetta.
Altre buone notizie: tutte le app testate hanno protetto correttamente i loro dati in transito verso il cloud. Hanno crittografato i dati e li hanno trasmessi tramite
- I migliori fitness tracker per il 2019 I migliori fitness tracker per il 2019
- Jawbone UP24 Jawbone UP24
- Withings Pulse O2 Withings Pulse O2
- Sony SmartBand SWR10 Sony SmartBand SWR10
Vincitori e perdenti
Il rapporto completo fornisce informazioni dettagliate su ciò che i ricercatori hanno appreso e mostra che la sicurezza disponibile in questo settore di prodotti varia notevolmente. Una pratica tabella identifica 11 punti importanti per la sicurezza del fitness tracker. Nella parte superiore, il Sony Smartband Talk SWR30 ne ha perso solo uno: non è possibile disattivare il Bluetooth dal tracker. Polar Loop ha mancato lo stesso punto, e inoltre non ha fatto tutto il possibile contro il reverse engineering, ma è comunque abbastanza buono.
All'altra estremità dello spettro, Acer Liquid Leap ha perso nove degli 11 punti. Ha ottenuto il merito di aver conservato i dati nella memoria protetta e un credito parziale per la salvaguardia della comunicazione interna; È tutto. Fitbit Charge ha perso otto elementi di sicurezza, inclusi tutti quelli relativi alla protezione delle comunicazioni Bluetooth.
Il team di AV-Test ha informato formalmente tutti i venditori dei loro risultati. Pianificano ulteriori indagini una volta che i venditori avranno avuto il tempo di intensificare il loro gioco di sicurezza.
