Καθώς τα wearables γίνονται μέρος της καθημερινότητάς μας, γίνονται ταυτόχρονα και μεγαλύτερος στόχος για τους κυβερνοεγκληματίες.
Ποιος δε θυμάται το δημοφιλές τραγούδι των Police “Every breath you take, … every step you take, I’ll be watching you”. Πράγματι, κάθε ανάσα που παίρνουμε, κάθε βήμα που κάνουμε, καταγράφονται από το fitness tracker μας, λέει ο Phil Muncaster από την ομάδα της παγκόσμιας εταιρείας κυβερνοασφάλειας ESET.
Τα έξυπνα ρολόγια, τα fitness trackers, και άλλες ηλεκτρονικές μικροσυσκευές τις οποίες φοράμε (wearables) γίνονται ολοένα και πιο δημοφιλή, τόσο όσο και τα κινητά τηλέφωνα και τα tablet.
Αυτές οι συνδεδεμένες συσκευές κάνουν πολύ περισσότερα από το να δείχνουν την ώρα: παρακολουθούν την υγεία μας, μας δείχνουν την ηλεκτρονική αλληλογραφία μας, ελέγχουν τα έξυπνα σπίτια μας και μπορούν ακόμη και να χρησιμοποιηθούν για πληρωμές σε καταστήματα. Αποτελούν προέκταση του λεγόμενου Διαδικτύου των Πραγμάτων (IoT) που κάνει τη ζωή όλων μας πιο βολική, ενώ παράλληλα μειώνει το χρόνο χρήσης των έξυπνων τηλεφώνων που έφτασε σχεδόν τις έξι ώρες για τους μισούς Αμερικανούς φέτος.
Όπως είναι φυσικό, πρόκειται για μια αγορά που θα μεγαλώνει με ετήσιο ρυθμό 12,5% τα επόμενα χρόνια και θα ξεπεράσει τα 118 δισεκατομμύρια δολάρια ΗΠΑ μέχρι το 2028. Αλλά ενώ τα wearables βρίσκουν σταθερά το δρόμο τους στην καθημερινότητάς μας, συλλέγουν επίσης περισσότερα δεδομένα και συνδέονται με έναν αυξανόμενο αριθμό άλλων έξυπνων συσκευών.
Ποιοι είναι όμως οι πιθανοί κίνδυνοι ασφάλειας από τα fitness trackers και πώς μπορούμε να προστατέψουμε την ιδιωτικότητά μας;
Ο Phil Muncaster από την ομάδα της ESET αναφέρει τους τέσσερεις βασικούς τρόπους που οι φορείς απειλών (Threat actors) μπορούν να εκμεταλλευτούν τις επιθέσεις σε wearables.
1. Τα λεγόμενα «τρίτα μέρη» (Third-party companies)
Τα δεδομένα που συλλέγουν οι συσκευές σας μπορεί να είναι εξαιρετικά πολύτιμα για τους διαφημιστές. Και σε ορισμένες αγορές υπάρχει ένα ακμάζον εμπόριο τέτοιων δεδομένων, αν και θα πρέπει να ελέγχονται αυστηρά στην ΕΕ χάρη στη νομοθεσία που θεσπίστηκε το 2018. Μια έκθεση υποστήριξε ότι τα έσοδα που πραγματοποιούνται από τα δεδομένα που πωλούνται από κατασκευαστές συσκευών υγείας σε ασφαλιστικές εταιρείες θα μπορούσαν να φτάσουν τα 855 εκατομμύρια δολάρια μέχρι το 2023.
Ορισμένα τρίτα μέρη μπορεί ακόμη και να τα χρησιμοποιήσουν για να δημιουργήσουν διαφημιστικά προφίλ για τους χρήστες και να τα πουλήσουν στη συνέχεια. Εάν τα δεδομένα αυτά αποθηκεύονται από πολλές εταιρείες, αυτό αποτελεί μεγαλύτερο κίνδυνο παραβίασης.
2. Ξεκλειδώνοντας το έξυπνο σπίτι
Ορισμένα wearables μπορούν να χρησιμοποιηθούν για να ελέγχουμε τις έξυπνες οικιακές συσκευές μας. Μπορούν ακόμη και να ρυθμιστούν για να ξεκλειδώνουν την εξώπορτά σας. Αυτό αποτελεί σημαντικό κίνδυνο για την ασφάλειά σας σε περίπτωση που οι συσκευές χαθούν ή κλαπούν και δεν έχουν ενεργοποιηθεί οι αντικλεπτικές ρυθμίσεις.
3. Κλοπή και χειραγώγηση δεδομένων
Ορισμένα έξυπνα ρολόγια προσφέρουν συγχρονισμένη πρόσβαση στις εφαρμογές του smartphone σας, όπως τα email και τα μηνύματα. Αυτό μπορεί να δώσει τη δυνατότητα σε μη εξουσιοδοτημένους χρήστες να κλέψουν ευαίσθητα προσωπικά δεδομένα. Εξίσου ανησυχητικό είναι και το πού αποθηκεύονται πολλά από αυτά τα δεδομένα. Εάν δεν προστατεύονται σωστά, ο πάροχος μπορεί να γίνει στόχος υποκλοπής πληροφοριών. Υπάρχει μια ακμάζουσα υπόγεια αγορά για ορισμένους τύπους προσωπικών και οικονομικών δεδομένων.
4. Απειλές που βασίζονται στην τοποθεσία
Ένας άλλος βασικός τύπος δεδομένων που καταγράφεται από τα περισσότερα wearables σχετίζεται με την τοποθεσία. Με αυτές τις πληροφορίες, οι χάκερ μπορούν να δημιουργήσουν ένα ακριβές προφίλ των κινήσεών σας κατά τη διάρκεια της ημέρας. Αυτό θα μπορούσε να τους επιτρέψει να επιτεθούν σωματικά στο χρήστη ή στο αυτοκίνητο/σπίτι του σε ώρες που κρίνεται ότι απουσιάζει. Υπάρχουν ακόμη μεγαλύτερες ανησυχίες σχετικά με την ασφάλεια των παιδιών που φορούν τέτοιες συσκευές, εάν παρακολουθούνται από τρίτους.
Όλα αυτά μπορεί να φαίνονται απίθανα, όμως πριν από μερικά χρόνια, ερευνητές ασφαλείας εντόπισαν ευπάθειες σε παιδικά smartwatches, οι οποίες εξέθεταν την τοποθεσία και προσωπικά δεδομένα των παιδιών. Πριν από αυτό, μια άλλη έρευνα διαπίστωσε ότι πολλοί κατασκευαστές έστελναν μη κρυπτογραφημένα προσωπικά δεδομένα παιδιών που χρησιμοποιούσαν τα προϊόντα σε διακομιστές στην Κίνα.
Οι ανησυχίες εξακολουθούν να υφίστανται μέχρι σήμερα, με έρευνες νζ δείχνουν ότι οι συσκευές είναι επιρρεπείς σε χειραγώγηση, η οποία θα μπορούσε να προκαλέσει ακόμη και σωματική δυσφορία στο χρήστη. Μια άλλη μελέτη υποστήριξε ότι οι χάκερ μπορούσαν να αλλάξουν κωδικούς πρόσβασης, να πραγματοποιήσουν κλήσεις, να στείλουν μηνύματα κειμένου και να αποκτήσουν πρόσβαση σε κάμερες από συσκευές που έχουν σχεδιαστεί για την παρακολούθηση ηλικιωμένων και παιδιών.
Πού υστερούν τα οικοσυστήματα συσκευών;
Η συσκευή που φοράτε είναι μόνο ένα μέρος της εικόνας. Στην πραγματικότητα υπάρχουν πολλά στοιχεία – από το υλικολογισμικό (firmware) της συσκευής μέχρι τα πρωτόκολλα που χρησιμοποιεί για τη συνδεσιμότητα, την εφαρμογή της και τους back-end διακομιστές cloud. Όλα είναι επιρρεπή σε επιθέσεις, εάν η ασφάλεια και η ιδιωτικότητα δεν έχουν ληφθεί σωστά υπόψη από τον κατασκευαστή.
Ακολουθούν μερικά από αυτά:
Bluetooth: Το Bluetooth Low Energy χρησιμοποιείται συνήθως για τη σύνδεση φορητών συσκευών με το smartphone σας. Ωστόσο, έχουν ανακαλυφθεί πολλά τρωτά σημεία στο πρωτόκολλο με την πάροδο των ετών. Θα μπορούσαν να επιτρέψουν σε επιτιθέμενους που βρίσκονται σε κοντινή απόσταση να προκαλέσουν βλάβη σε συσκευές, να υποκλέψουν πληροφορίες ή να χειραγωγήσουν δεδομένα.
Συσκευές: Συχνά το ίδιο το λογισμικό της συσκευής είναι ευάλωτο σε εξωτερικές επιθέσεις λόγω κακού προγραμματισμού. Ακόμα και το καλύτερα σχεδιασμένο ρολόι έχει τελικά κατασκευαστεί από ανθρώπους και επομένως μπορεί να περιέχει σφάλματα κωδικοποίησης. Αυτά μπορούν επίσης να οδηγήσουν σε διαρροές απορρήτου, απώλεια δεδομένων και πολλά άλλα.
Επίσης η αδύναμη πιστοποίηση/κρυπτογράφηση στις συσκευές μπορεί να σημαίνει ότι εκτίθενται σε πειρατεία και υποκλοπή. Οι χρήστες θα πρέπει επίσης να έχουν επίγνωση των shoulder surfers εάν χρησιμοποιούν τις φορητές συσκευές τους για να βλέπουν ευαίσθητα μηνύματα/δεδομένα σε δημόσιο χώρο.
Εφαρμογές: Οι εφαρμογές smartphone που συνδέονται με τα wearables είναι μια άλλη οδός επίθεσης. Και πάλι, μπορεί να είναι κακογραμμένες και γεμάτες ευπάθειες, εκθέτοντας την πρόσβαση στα δεδομένα και τις συσκευές των χρηστών. Ένας ξεχωριστός κίνδυνος είναι οι εφαρμογές ή ακόμη και οι ίδιοι οι χρήστες να είναι απρόσεκτοι με τα δεδομένα. Μπορεί επίσης να κατεβάσετε κατά λάθος ψεύτικες εφαρμογές που έχουν σχεδιαστεί για να μοιάζουν με τις νόμιμες και να εισαγάγετε σε αυτές προσωπικές πληροφορίες.
Back-end servers: Όπως αναφέρθηκε, τα συστήματα των παρόχων που βασίζονται στο υπολογιστικό νέφος μπορούν να αποθηκεύουν πληροφορίες για τη συσκευή, συμπεριλαμβανομένων δεδομένων θέσης και άλλων λεπτομερειών. Αυτό αποτελεί ελκυστικό στόχο για τους επιτιθέμενους. Δεν υπάρχουν πολλά που μπορείτε να κάνετε γι’ αυτό, εκτός από το να επιλέξετε έναν αξιόπιστο πάροχο με καλό ιστορικό ασφάλειας.
Δυστυχώς, πολλά από τα παραπάνω σενάρια είναι κάτι περισσότερο από θεωρητικά.
Εσείς; Πώς θα προστατέψετε τις συσκευές σας;
Σύμφωνα με τον Phil Muncaster από την ESET, ευτυχώς, υπάρχουν αρκετά πράγματα που μπορείτε να κάνετε για να ελαχιστοποιήσετε τους κινδύνους που περιγράφονται παραπάνω. Μερικά από αυτά είναι τα εξής:
Γενικές συμβουλές
- Ενεργοποιείστε τον έλεγχο ταυτότητας δύο παραγόντων
- Προστατέψτε την οθόνη κλειδώματος με κωδικό πρόσβασης
- Αλλάξτε τις ρυθμίσεις για την αποτροπή οποιασδήποτε μη εξουσιοδοτημένης σύζευξης (pairing)
- Αγοράζετε wearables από αξιόπιστους προμηθευτές
- Ρίξτε μια προσεκτική ματιά στις ρυθμίσεις απορρήτου και ασφάλειας για να βεβαιωθείτε ότι έχουν ρυθμιστεί σωστά
Πώς να προστατέψετε το smartphone σας
- Χρησιμοποιείτε μόνο νόμιμα καταστήματα εφαρμογών
- Φροντίστε να ενημερώνετε όλο το λογισμικό
- Ποτέ μην κάνετε jailbreaking/rooting σε συσκευές
- Περιορίστε τα δικαιώματα που παραχωρείτε στις εφαρμογές
- Εγκαταστήστε αξιόπιστο λογισμικό Antivirus στη συσκευή
Πώς να προστατέψετε ένα smart home (έξυπνο σπίτι)
- Μην συγχρονίζετε τα wearables με την εξώπορτά σας
- Διατηρήστε τις συσκευές στο δίκτυο Wi-Fi των επισκεπτών
- Κάντε ενημέρωση όλων των συσκευών στο πιο πρόσφατο firmware
- Αλλάξτε όλους τους κωδικούς πρόσβασης των συσκευών από τις εργοστασιακές ρυθμίσεις
Καθώς τα wearables γίνονται μέρος της καθημερινότητας μας, γίνονται και μεγαλύτερος στόχος για τους κυβερνοεγκληματίες. Κάντε την έρευνά σας πριν από την αγορά και κλείστε όσο το δυνατόν περισσότερες διόδους επίθεσης μόλις κάνετε εκκίνηση της νέας συσκευής σας.