Video: Garmin: vívofit jr. 3 – Check Out Our Kids Fitness Trackers (November 2024)
Keď zasiahnete 10 000 krokov alebo dosiahnete nejaký iný cieľ zameraný na fitnes, chcete sa o svoj úspech podeliť s priateľmi, však? V závislosti od toho, ktoré zariadenie používate, môžete zdieľať svoje súkromné informácie so svetom alebo so všetkými v okolí. Vedci z AV-Test Institute analyzovali bezpečnosť deviatich populárnych fitness sledovačov a niektoré z ich zistení neboli pekné.
Stručne povedané, Fitbit Charge a Acer Liquid Leap nezabezpečujú vôbec svoje pripojenia Bluetooth. To znamená, že vaše údaje môžu byť posúvané. Jawbone Up24 a Sony Smartband Talk SWR30 odviedli najlepšiu prácu na ochrane údajov používateľa.
Samozrejme sa testovala iba jedna položka v každej produktovej rade spoločnosti, ale opatrnosť diktuje za predpokladu, že sa zistenia uplatnia plošne. To, že máte Fitbit Surge a nie Fitbit Charge, ešte neznamená, že ste v bezpečí.
Koho to zaujíma?
Ale počkajte, môžete povedať, že je mi jedno, kto vidí moje údaje; Som hrdý na svoju kondíciu! V správe sa uvádza niekoľko dôvodov, prečo by tento postoj mohol byť naivný. Napríklad niektorí zdravotní poisťovatelia ponúkajú nižšie sadzby zákazníkom, ktorí preukážu svoju spôsobilosť pomocou sledovača. Bezohľadný užívateľ by mohol uniesť údaje o susedovi vhodnejšom pre získanie nižšej rýchlosti alebo ich ukradnúť a zadržať pre výkupné.
Ak údaje zariadenia nie sú zabezpečené, je možné ich zvonku upravovať. „To nebude trvať dlho, kým si deti zahrajú žarty na joggingovom yuppie tým, že zvýšia údaje o svojom krvnom tlaku a pulzoch o niekoľko zárezov, “ poznamenáva správa, „čím hypochondrom dávajú ešte viac vecí na starosti.“ Správa skutočne uvádza, ako ľahko sa vedcom podarilo prevziať jedno konkrétne zariadenie.
Bluetooth Promiskuita
Všetky testované sledovače používajú Bluetooth na pripojenie k aplikácii pre Android. Ak je správne implementovaná, párovanie Bluetooth môže byť celkom bezpečné. Sony Smartband Talk SWR30, Polar Loop a Withings Pulse Ox sa po spárovaní s telefónom stanú neviditeľnými pre iné zariadenia. Garmin Vivosmart a Huawei TalkBand B1 vyžadujú pre párovanie autentifikáciu. Jawbone Up24 a LG Lifeband Touch FB84 idú ďalej a vyžadujú párovanie na prístup k zariadeniu fyzickým.
Zvyšné dva, Acer Liquid Leap a Fitbit Charge, vôbec nezabezpečujú pripojenie BlueTooth. Najmä služba Fitbit Charge sa spáruje s akýmkoľvek zariadením Bluetooth, ktoré je v dosahu, a údaje obyčajného textu nie sú vôbec chránené. Produkty Jawbone a Huawei nie sú tak široko otvorené, ale spárujú sa s viac ako jedným zariadením. Pokiaľ ide o Acer Liquid Leap, zdá sa, že vyžaduje overenie pomocou kódu PIN, ale kód je staticky odvodený od verejného názvu zariadenia.
Zabezpečenie aplikácie
Programy pre Android sa líšia od kompilovaných spustiteľných programov, ktoré sa spúšťajú v systéme Windows. Ktokoľvek môže program Android dekompilovať späť do svojho zdrojového kódu pomocou ľahko dostupných nástrojov. Hacker by mohol použiť tento zdrojový kód na určenie toho, ako aplikácia fitnes komunikuje so svojím zodpovedajúcim sledovacím zariadením, a napísať falšovanú aplikáciu, ktorá túto komunikáciu prevezme.
Inteligentní programátori pre Android používajú nástroje a techniky na zatemnenie programového kódu, čo sťažuje spätné inžinierstvo. Vypnú tiež funkcie protokolovania, ktoré sú užitočné pri vytváraní programu, ale ktoré poskytujú ďalšie podrobnosti o aplikácii. A samozrejme zostavujú konečnú verziu s vypnutým ladením.
Iba dva z testovaných produktov, Jawbone Up24 a Sony Smartband Talk SWR30, použili všetky tieto tri techniky. Huawei a Withings vydali ladiaci kód so zapnutým protokolovaním a použili iba obmedzené zmätenie. Spoločnosti Acer a LG Lifeband sa nepokúsili narušiť spätné inžinierstvo.
Vedci AV-Testu ľahko vytvorili falošnú aplikáciu, ktorá by mohla nasávať údaje zo zariadenia Acer. Dokonca sa im podarilo zmeniť interné záznamy zariadenia, takže „denný tréning bol dokončený za pár sekúnd, bez toho, aby sa prelomil pot“.
Zlé správy, dobré správy
Ak ste svoj telefón zakorenili, ste oveľa zraniteľnejší voči všetkým druhom hackingu vrátane hackerov zameraných na sledovanie fitness. Dobrou správou je, že všetky testované zariadenia správne ukladajú svoje údaje do chránenej pamäte. Zlá správa je, že ak ste zakorenili telefón, táto pamäť už nie je chránená.
Ďalšie dobré správy - všetky testované aplikácie správne chránili svoje údaje pri prenose do cloudu. Údaje zašifrovali a preniesli ich pomocou protokolu
- Najlepšie Fitness Trackery pre rok 2019 Najlepšie Fitness Trackery pre rok 2019
- Čeľuste UP24 Čeľuste UP24
- Withings Pulse O2
- Sony SmartBand SWR10 Sony SmartBand SWR10
Víťazi a porazení
Celá správa sa podrobne venuje presne tomu, čo sa vedci dozvedeli, a ukazuje, že dostupná bezpečnosť v tejto produktovej oblasti sa veľmi líši. Šikovný graf identifikuje 11 dôležitých bodov pre bezpečnosť fitnes trackera. Na vrchole, Sony Smartband Talk SWR30 premeškal iba jeden - Bluetooth nemôžete deaktivovať z trackera. Polar Loop vynechal ten istý bod a tiež neurobil všetko možné proti spätnému inžinierstvu, ale to je stále celkom dobré.
Na druhom konci spektra Acer Liquid Leap vynechal deväť z 11 bodov. Získal kredit za uchovávanie údajov v chránenej pamäti a čiastočný kredit za zabezpečenie internej komunikácie; to je všetko. Služba Fitbit Charge vynechala osem bezpečnostných prvkov vrátane všetkých prvkov súvisiacich s ochranou komunikácie Bluetooth.
Tím AV-Test formálne informoval všetkých svojich dodávateľov o svojich zisteniach. Keď predajcovia majú čas zintenzívniť svoju bezpečnostnú hru, plánujú ďalšie vyšetrovania.