Una nuova ricerca mostra come gli smartwatch possano diventare strumenti per spiare i loro proprietari, raccogliendo segnali da accelerometri e giroscopi che, dopo l’analisi, potrebbero essere trasformati in set di dati unici del proprietario dello smartwatch. Questi set di dati, se utilizzati in modo improprio, permettono di monitorare le attività degli utenti e di dare accesso a informazioni sensibili. Questi sono i risultati della nuova analisi di Kaspersky Lab sull’impatto che la diffusione dei dispositivi IoT può avere sulla vita quotidiana degli utenti e sulla loro sicurezza informatica.
Negli ultimi anni, l’industria della cybersecurity ha mostrato che i dati privati degli utenti stanno diventando un bene molto prezioso, a causa degli usi criminali quasi illimitati – dal sofisticato digital profiling delle vittime dei cybercriminali fino alle previsioni di mercato sul comportamento degli utenti. Tuttavia, mentre la paranoia dei consumatori sull’uso improprio delle informazioni personali sta crescendo, con molte persone che si concentrano sulle piattaforme online e sui metodi di raccolta dei dati, altre fonti di minacce – meno scontate – restano senza protezione. Ad esempio, per aiutare a mantenere uno stile di vita sano, molti di noi usano i fitness tracker per monitorare la propria attività fisica e sportiva. Ma questa abitudine potrebbe avere anche delle conseguenze pericolose.
I dispositivi wearable intelligenti, compresi gli smartwatch e i fitness tracker, sono utilizzati di solito nel corso delle attività sportive, per monitorare la nostra salute, ricevere notifiche push e altro ancora. Per svolgere le loro funzioni principali, la maggior parte di questi dispositivi è dotata di sensori di accelerazione incorporati (gli accelerometri), che sono spesso combinati con sensori di rotazione (i giroscopi) per il conteggio dei passi e per conoscere la posizione corrente del loro utilizzatore. Gli esperti di Kaspersky Lab hanno deciso di esaminare quali informazioni di un utente potrebbero essere fornite a terzi non autorizzati da questi sensori e hanno analizzato da vicino diversi smartwatch di una serie di produttori.
Per esaminare la questione, gli esperti hanno sviluppato un’applicazione per smartwatch abbastanza semplice che registrava segnali da accelerometri e giroscopi integrati. I dati registrati sono stati quindi archiviati nella memoria del dispositivo wearable o caricati sullo smartphone abbinato allo stesso tramite Bluetooth. Utilizzando gli algoritmi matematici disponibili per la potenza di calcolo del wearable intelligente, è stato possibile identificare alcuni modelli comportamentali, capire il momento e il luogo nel quale un utente si stava muovendo e anche per quanto tempo ha condotto una certa azione. Cosa ancora più importante, è stato possibile identificare alcune attività sensibili degli utenti, compreso l’inserimento di una passphrase sul computer (con una precisione fino al 96%), l’uso di un codice PIN presso i bancomat (circa all’87%) e lo sblocco del proprio smartphone (circa al 64%).
Lo stesso set di dati del segnale è un modello comportamentale unico per il proprietario del dispositivo. Utilizzando questo, una terza parte potrebbe andare oltre e cercare di riconoscere l’identità dell’utente – sia tramite un indirizzo email richiesto in fase di registrazione da una app, sia tramite l’accesso alle credenziali dell’account su Android. Dopo questo, l’identificazione di informazioni dettagliate su una potenziale vittima – compresa la sua routine quotidiana o i momenti nei quali vengono inseriti dati importanti – è solo una questione di tempo. Considerando il prezzo in crescita per i dati privati degli utenti, potremmo trovarci velocemente in un mondo in cui le terze parti scelgono di monetizzare questa forma di accesso alle informazioni sensibili.
Se anche questo tipo di utilizzo non venisse capitalizzato, ma fosse utilizzato da criminali informatici per scopi malevoli, le possibili conseguenze potrebbero essere limitate solo dalla loro immaginazione e dal loro livello di conoscenza tecnica. Ad esempio, potrebbero riuscire a decrittare i segnali ricevuti utilizzando reti neurali, attaccare le vittime o installare degli skimmer sugli sportelli bancomat che usano di solito. Abbiamo già avuto modo di vedere come i criminali possano raggiungere un’accuratezza dell’80% quando tentano di decrittare i segnali di un accelerometro o di identificare una password o un PIN utilizzando solo i dati raccolti dai sensori degli smartwatch.
“I wearable intelligenti non sono solo gadget in miniatura, sono sistemi cyber-fisici in grado di registrare, memorizzare ed elaborare parametri fisici. La nostra ricerca mostra come anche algoritmi molto semplici, eseguiti sullo smartwatch stesso, possano essere in grado di catturare il profilo unico di un utente dai segnali dell’accelerometro o del giroscopio. Questi profili possono quindi essere utilizzati per portare un utente fuori dall’anonimato e tenere traccia delle sue attività, compresi i momenti nei quali vengono inserite informazioni sensibili. Un processo che può essere condotto utilizzando app per smartwatch legittime che inviano segretamente dati a terze parti”, ha commentato Morten Lehn, General Manager Italy di Kaspersky Lab.
I ricercatori di Kaspersky Lab consigliano agli utenti di prestare attenzione a quanto segue quando indossano dispositivi smart:
- Se l’applicazione invia una richiesta per il recupero delle informazioni sull’account dell’utente, questo potrebbe essere un motivo di preoccupazione, perché i cybercriminali potrebbero facilmente ricostruire una sorta di “impronta digitale” del proprietario del dispositivo.
- Anche la richiesta di permesso per l’invio di dati di geolocalizzazione da parte dell’applicazione dovrebbe essere un motivo di preoccupazione. Non fornire alle applicazioni di fitness tracking che si scaricano sul proprio smartwatch permessi extra o settare il proprio indirizzo email aziendale come login.
- Un consumo veloce della batteria di un dispositivo può essere un ulteriore campanello di allarme. Se il gadget si scarica in poche ore invece che durare un intero giorno, bisognerebbe controllare cosa sta davvero facendo. Potrebbe essere impegnato nella scrittura di log di segnale o, ancora peggio, inviarli da qualche parte.
Facebook Comments