שעונים חכמים יכולים להפוך לכלי ריגול כנגד בעליהם
מאת: מערכת Telecom News, 7.6.18, 15:00
נבדקו אילו נתוני משתמש יכולים חיישני תאוצה, שלעיתים קרובות משולבים בחיישני רוטציה, לספק לגורם חיצוני ולשם כך נלקחו לבדיקה שעונים חכמים ממספר ספקים (אנדרואיד). נמצא, שעבריינים יכולים לזהות פעולות רגישות של משתמשים בשעונים חכמים, כולל הזנה של סיסמא למחשב והקלדת קוד בכספומט. איך ניתן להתגונן?
מחקר מראה, ששעונים חכמים יכולים להפוך לכלי ריגול כנגד בעליהם. איסוף שקט של נתונים ממד התאוצה והג'יירוסקופ וניתוח שלהם, יכולים לשמש כדי לזהות פעילות ייחודית של בעלי שעון החכם. מערך הנתונים הזה, אם נעשה בו שימוש לרעה, מאפשר לנטר פעילות של משתמש, כולל זיהוי כאשר הוא מזין מידע רגיש לכספומט או בטלפון הנייד. אלה הם ממצאים מניתוח, שביצעה מעבדת קספרסקי, לגבי השפעות אפשריות של התרחבות השימוש ב-
IoT על חיי המשתמשים ואבטחת המידע שלהם.
בשנים האחרונות, נתונים פרטיים של משתמשים הפכו למוצר בעל ערך כתוצאה מאפשרויות השימוש בהם ע"י עברייני סייבר, החל מבניית פרופיל קורבן דיגיטלי ועד ליצירת תחזיות שוק על התנהגות משתמשים. בעוד הפחד של משתמשים לגבי שימוש בלתי ראוי במידע האישי שלהם הולך וגובר, בעיקר לגבי איסוף נתונים המתרחש בפלטפורמות דיגיטליות, קיימים מקורות אחרים לאיסוף נתונים, מובהקים פחות ולכן גם מוגנים פחות.
לדוגמא, כדי לשמור על אורח חיים בריא, רבים מאתנו משתמשים בצמידי כושר או שעונים חכמים כדי לנטר פעילות גופנית. אבל כפי שמראה המחקר של החברה, , הדבר גם יכול להביא גם לתוצאות מסוכנות.
מכשירים לבישים חכמים, כולל שעונים חכמים וצמידי כושר, נמצאים בשימוש נרחב במסגרת פעילות גופנית, לשם ניטור מדדים מסוימים, לקבלת הודעות וכו'. כדי לבצע את תפקידיהם המרכזיים, רוב המכשירים האלה מצוידים בחיישני תאוצה (
accelerometers), שלעיתים קרובות משולבים בחיישני רוטציה (ג'יירוסקופ), שמאפשרים מדידת צעדים ומיקום המשתמש.
חוקרי החברה החליטו לבדוק אילו נתוני משתמש יכולים החיישנים האלה לספק לגורם חיצוני ולשם כך הם לקחו לבדיקה שעונים חכמים ממספר ספקים.
כדי לבחון את הבעיה, המומחים פיתחו אפליקציה פשוטה יחסית לשעון חכם, שמקליטה אותות המגיעים מחיישני התאוצה והרוטציה. המידע נשמר בזיכרון המכשיר הלביש או שודר דרך בלוטות' לטלפון נייד.
באמצעות אלגוריתם מתמטי, שניתן להפעיל עם עוצמת מחשוב של שעון חכם, זיהו החוקרים תבניות פעולה, זמנים ומיקומים בהם המשתמשים היו בתנועה, ואורך הזמן בהם עשו זאת. חשוב מכך, הם הצליחו לזהות פעולות רגישות של משתמש, כולל הזנה של סיסמא למחשב (ברמת דיוק של 96%), הקלדת קוד בכספומט (ברמת דיוק של 87%) ופתיחת הטלפון הנייד (ברמת דיוק של 64%).
מערך הנתונים, שמתקבל מניטור כזה, מספק תבנית התנהגות ייחודית של בעל המכשיר. באמצעות שימוש במערך כזה, גורם חיצוני יכול להתקדם ולנסות לזהות את המשתמש עצמו, בין אם באמצעות שילוב כתובת הדואר האלקטרוני, שהוזנה בשלב הרישום לאפליקציה, או באמצעות הרשאות גישה לחשבון
האנדרואיד במכשיר. לאחר מכן, זה רק עניין של זמן עד שיתקבל מידע מפורט על הקורבן, כולל סדר יום ורגעים בהם הוא מזין מידע רגיש. בהינתן השווי הגובר של נתוני משתמשים פרטיים, אנו יכולים למצוא את עצמנו במהירות בעולם בו גופים מנסים לנטר סוג זה של מידע.
אבל גם אם המידע לא יימכר ישירות בתמורה לכסף, עבור עברייני הסייבר השימוש בנתונים הללו מוגבל רק ע"י הדמיון והיכולות הטכנולוגיות שלהם. לדוגמא, הם יכולים לפצח את האותות המתקבלים באמצעות רשתות נוירונים, ולארוב לקורבנות או להתקין "סקימרים" (מכשירים לאיסוף קוד כספומט) במכשיר הכספומט המועדף על הקורבן. כבר ראינו כיצד עבריינים יכולים
להשיג 80% אחוזי דיוק בפיענוח אותות ממד התאוצה ובזיהוי סיסמא.
חוקרי החברה מייעצים למשתמשים להסב תשומת לב לנקודות הבאות כאשר הם משתמשים במכשירים חכמים:
אם אפליקציה שולחת בקשה לאחזר את פרטי חשבון המשתמש, זו סיבה לדאגה, מכיוון שעבריינים יוכלו לבנות באמצעותם בקלות "טביעת אצבע דיגיטלית" של המשתמש.
אם אפליקציה מבקשת הרשאה לשלוח נתוני מיקום גיאוגרפי, גם זו סיבה לחשש. אל תעניקו לאפליקציות ניטור בריאות, שאתם מורידים למכשיר הנייד, הרשאות מיותרות, ואל תזינו דואר אלקטרוני ארגוני לצורך כניסה אליהן.
צריכת סוללה מהירה במכשיר יכולה לשמש כהתרעה. אם סוללת הגאדג'ט שלכם מתרוקנת תוך כמה שעות במקום יום שלם, מומלץ לבדוק מה הסיבה לכך. יכול להיות שהמכשיר מתעד אותות, או גרוע יותר, שולח אותם למקום אחר.
סרגיי לוריה, מחבר משותף של המחקר במעבדת קספרסקי: שעונים חכמים אינם רק גאדג'טים קטנים, הם מערכות סייבר-פיסיות היכולות לתעד, לאחסן ולעבד נתונים פיסיים. המחקר מראה, שאפילו אלגוריתמים פשוטים מאוד, שרצים על השעון החכם עצמו, מסוגלים לבנות פרופיל ייחודי של המשתמש מתוך אותות מד התאוצה והג'יירוסקופ. פרופילים אלה יכולים לשמש כדי לחשוף את המשתמש ולבצע מעקב אחר הפעילות שלו, כולל הזמנים בהם הוא מזין מידע רגיש. הדברים יכולים להיעשות באמצעות אפליקציות לגיטימיות לשעון החכם השולחות נתונים באופן חסוי לגורם חיצוני".
מידע נוסף -
כאן.