Видео: 4 Unicode and N character in SQL Server (Сентябрь 2024)
Когда вы пройдете 10 000 шагов или достигнете какой-нибудь другой цели в фитнес-трекере, вы захотите поделиться своими достижениями с друзьями, верно? В зависимости от того, какое устройство вы используете, вы также можете делиться своей личной информацией со всем миром или со всеми поблизости. Исследователи из AV-Test Institute проанализировали безопасность девяти популярных фитнес-трекеров, и некоторые из их выводов оказались не очень приятными.
Короче говоря, Fitbit Charge и Acer Liquid Leap вообще не защищают свои соединения Bluetooth. Это означает, что ваши данные подлежат уничтожению. Jawbone Up24 и Sony Smartband Talk SWR30 сделали лучшую работу по защите пользовательских данных.
Конечно, был протестирован только один элемент в линейке продуктов каждой компании, но благоразумие предполагает, что полученные результаты применимы по всем направлениям. Тот факт, что у вас есть Fitbit Surge, а не Fitbit Charge, не означает, что вы в безопасности.
Какая разница?
Но подождите, вы можете сказать, мне все равно, кто видит мои данные; Я горжусь своим фитнесом! В докладе отмечается немало причин, по которым такое отношение может быть наивным. Например, некоторые страховщики здоровья предлагают более низкие тарифы для клиентов, которые подтверждают свою пригодность с помощью трекера. Недобросовестный пользователь может похитить данные более подходящего соседа, чтобы получить более низкую ставку, или украсть данные и удерживать их для выкупа.
Если данные устройства не защищены, его вполне можно изменить извне. «Вскоре дети начнут шутить с бегущим яппи, увеличив его давление и данные о пульсе на несколько ступеней, - отмечается в сообщении, - что дает ипохондрикам еще больше поводов для беспокойства». Действительно, в отчете подробно описывается, как легко исследователям удалось захватить одно конкретное устройство.
Bluetooth Promiscuity
Все протестированные трекеры используют Bluetooth для подключения к приложению Android. При правильной реализации Bluetooth-соединение может быть достаточно безопасным. Sony Smartband Talk SWR30, Polar Loop и Withings Pulse Ox становятся невидимыми для других устройств после их сопряжения с телефоном. Garmin Vivosmart и Huawei TalkBand B1 требуют аутентификации для сопряжения. Jawbone Up24 и LG Lifeband Touch FB84 идут дальше, требуя физического доступа к устройству для сопряжения.
Оставшиеся два, Acer Liquid Leap и Fitbit Charge, вообще не защищают соединение BlueTooth. В частности, Fitbit Charge будет сопрягаться с любым Bluetooth-устройством, находящимся в радиусе действия, а текстовые данные вообще не защищены. Продукты Jawbone и Huawei не так широко открыты, но они будут сопряжены с несколькими устройствами. Что касается Acer Liquid Leap, кажется, что требуется аутентификация с использованием PIN-кода, но этот код статически выводится из публичного имени устройства.
Обеспечение безопасности приложения
Программы Android отличаются от скомпилированных исполняемых программ, которые работают под Windows. Любой может декомпилировать программу Android обратно в ее исходный код, используя легкодоступные инструменты. Хакер может использовать этот исходный код, чтобы определить, как фитнес-приложение взаимодействует с соответствующим трекером, и написать поддельное приложение, чтобы перехватить эту связь.
Умные Android-программисты используют инструменты и методы, чтобы запутать программный код, что затрудняет обратный инжиниринг. Они также отключают функции ведения журнала, которые полезны при создании программы, но при этом выдают внутренние данные приложения. И, конечно, они компилируют финальную версию с отключенной отладкой.
Только два из протестированных продуктов, Jawbone Up24 и Sony Smartband Talk SWR30, использовали все эти три метода. Huawei и Withings выпустили отладочный код с включенным ведением журналов и применили только ограниченную запутывание. Acer и LG Lifeband, не пытались помешать обратному проектированию.
Исследователи AV-Test легко создали фальшивое приложение, которое могло бы сосать данные с устройства Acer. Им даже удалось изменить внутренние записи устройства, так что «дневная тренировка была завершена всего за несколько секунд, без пота».
Плохие новости, хорошие новости
Если вы рутировали свой телефон, вы намного более уязвимы для всех видов взлома, включая взлом фитнес-трекера. Хорошей новостью является то, что все протестированные устройства правильно хранят свои данные в защищенной памяти. Плохая новость в том, что если вы рутировали свой телефон, эта память больше не защищена.
Больше хороших новостей - все протестированные приложения правильно защищали свои данные при передаче в облако. Они зашифровали данные и передали их по протоколу
- Лучшие фитнес-трекеры на 2019 год Лучшие фитнес-трекеры на 2019 год
- Челюсть UP24 челюсть UP24
- Withings Pulse O2 Withings Pulse O2
- Sony SmartBand SWR10 Sony SmartBand SWR10
Победители и проигравшие
В полном отчете подробно рассказывается, что именно узнали исследователи, и показано, что доступная безопасность в этой области продуктов сильно различается. Удобный график определяет 11 важных моментов для безопасности фитнес-трекера. В верхней части Sony Smartband Talk SWR30 пропустил только одну - вы не можете отключить Bluetooth с трекера. Polar Loop упустил ту же самую точку и также не сделал все возможное против реверс-инжиниринга, но это все еще довольно хорошо.
На другом конце спектра Acer Liquid Leap пропустил девять из 11 очков. Он получил кредит на хранение данных в защищенной памяти и частичный кредит для защиты внутренней коммуникации; вот и все. Fitbit Charge пропустил восемь элементов безопасности, в том числе все, что касается защиты связи Bluetooth.
Команда AV-Test официально уведомила всех поставщиков о своих выводах. Они планируют дальнейшие расследования, как только поставщики успеют усилить свою игру в сфере безопасности.
