Video: Tecnologías aplicadas a la identificación de la firma falsa. Software Nega - E-graphing #Día 3 (Noviembre 2024)
Cuando llegas a 10, 000 pasos o alcanzas algún otro objetivo de rastreador de ejercicios, quieres compartir tus logros con tus amigos, ¿verdad? Dependiendo del dispositivo que use, también puede compartir su información privada con el mundo o con todos los que están cerca. Investigadores del AV-Test Institute analizaron la seguridad de nueve rastreadores de actividad física populares, y algunos de sus hallazgos no fueron bonitos.
En resumen, Fitbit Charge y Acer Liquid Leap no aseguran sus conexiones Bluetooth en absoluto. Eso significa que sus datos están sujetos a ser deslizados. Jawbone Up24 y Sony Smartband Talk SWR30 hicieron el mejor trabajo al proteger los datos del usuario.
Por supuesto, solo se probó un artículo en la línea de productos de cada compañía, pero la prudencia dicta que se asuman los hallazgos en todos los ámbitos. El hecho de que tenga un Fitbit Surge y no un cargo de Fitbit no significa que esté a salvo.
¿A quien le importa?
Pero espera, puedes decir, no me importa quién vea mis datos; Estoy orgulloso de mi estado físico! El informe señala bastantes razones por las cuales esta actitud puede ser ingenua. Por ejemplo, algunas aseguradoras de salud ofrecen tarifas más bajas a los clientes que prueban su estado físico utilizando un rastreador. Un usuario sin escrúpulos podría secuestrar los datos de un vecino más apto para obtener la tasa más baja, o robar los datos y retenerlos para obtener un rescate.
Si los datos del dispositivo no están protegidos, bien podrían modificarse desde el exterior. "No pasará mucho tiempo antes de que los niños jueguen bromas al yuppie para correr aumentando su presión sanguínea y datos de pulso en unos pocos niveles", señala el informe, "dando así a los hipocondríacos aún más cosas de las que preocuparse". De hecho, el informe detalla con qué facilidad los investigadores lograron hacerse cargo de un dispositivo en particular.
Promiscuidad de Bluetooth
Todos los rastreadores probados usan Bluetooth para conectarse con una aplicación de Android. Cuando se implementa correctamente, el emparejamiento de Bluetooth puede ser bastante seguro. Sony Smartband Talk SWR30, Polar Loop y Withings Pulse Ox se vuelven invisibles para otros dispositivos una vez emparejados con su teléfono. Garmin Vivosmart y Huawei TalkBand B1 requieren autenticación para el emparejamiento. Jawbone Up24 y LG Lifeband Touch FB84 van más allá y requieren acceso físico al dispositivo para el emparejamiento.
Los dos restantes, Acer Liquid Leap y Fitbit Charge, no aseguran la conexión BlueTooth en absoluto. El Fitbit Charge en particular se emparejará con cualquier dispositivo Bluetooth que esté dentro del alcance, y los datos de texto sin formato no están protegidos en absoluto. Los productos Jawbone y Huawei no están tan abiertos, pero se emparejarán con más de un dispositivo. En cuanto al Acer Liquid Leap, parece requerir autenticación con un código PIN, pero el código se deriva estáticamente del nombre público del dispositivo.
Asegurar la aplicación
Los programas de Android son diferentes de los programas ejecutables compilados que se ejecutan en Windows. Cualquiera puede descompilar un programa de Android a su código fuente utilizando herramientas disponibles. Un hacker podría usar ese código fuente para determinar cómo se comunica una aplicación de fitness con su rastreador correspondiente, y escribir una aplicación falsificada para hacerse cargo de esa comunicación.
Los programadores inteligentes de Android usan herramientas y técnicas para ofuscar el código del programa, lo que dificulta la ingeniería inversa. También desactivan las funciones de registro que son útiles durante la creación del programa, pero que revelan detalles internos de la aplicación. Y, por supuesto, compilan la versión final con la depuración desactivada.
Solo dos de los productos probados, Jawbone Up24 y Sony Smartband Talk SWR30, utilizaron estas tres técnicas. Huawei y Withings lanzaron código de depuración con el registro activado, y solo aplicaron ofuscación limitada. Acer y LG Lifeband no intentaron frustrar la ingeniería inversa.
Los investigadores de AV-Test crearon fácilmente una aplicación falsa que podría absorber datos del dispositivo Acer. Incluso lograron cambiar los registros internos del dispositivo, de modo que "el entrenamiento del día se completó en solo unos segundos, sin sudar".
Malas noticias, buenas noticias
Si ha rooteado su teléfono, es mucho más vulnerable a todo tipo de piratería, incluido el pirateo de rastreadores de actividad física. La buena noticia es que todos los dispositivos probados almacenan correctamente sus datos en la memoria protegida. La mala noticia es que si ha rooteado su teléfono, esa memoria ya no está protegida.
Más buenas noticias: todas las aplicaciones probadas protegieron correctamente sus datos en tránsito hacia la nube. Encriptaron los datos y los transmitieron usando
- Los mejores rastreadores de ejercicios para 2019 Los mejores rastreadores de ejercicios para 2019
- Jawbone UP24 Jawbone UP24
- Withings Pulse O2 Withings Pulse O2
- Sony SmartBand SWR10 Sony SmartBand SWR10
Ganadores y perdedores
El informe completo detalla exactamente lo que aprendieron los investigadores y muestra que la seguridad disponible en esta área de productos varía ampliamente. Un práctico cuadro identifica 11 puntos importantes para la seguridad del rastreador de ejercicios. En la parte superior, el Sony Smartband Talk SWR30 se perdió solo uno: no puede desactivar Bluetooth del rastreador. Polar Loop perdió ese mismo punto, y tampoco hizo todo lo posible contra la ingeniería inversa, pero eso sigue siendo bastante bueno.
En el otro extremo del espectro, Acer Liquid Leap perdió nueve de los 11 puntos. Obtuvo crédito por mantener los datos en la memoria protegida y crédito parcial por salvaguardar la comunicación interna; eso es todo. Fitbit Charge omitió ocho elementos de seguridad, incluidos todos los relacionados con la protección de las comunicaciones Bluetooth.
El equipo de AV-Test notificó formalmente a todos los vendedores sus hallazgos. Planean nuevas investigaciones una vez que los vendedores hayan tenido tiempo de intensificar su juego de seguridad.
