Vídeo: 4 indicadores matadores pra rastreamento de tendências - Com Edu Moraes (Outubro 2024)
Quando você atinge 10.000 etapas ou atinge outra meta do rastreador de fitness, deseja compartilhar sua conquista com os amigos, certo? Dependendo do dispositivo que você usa, você também pode compartilhar suas informações pessoais com o mundo ou com qualquer pessoa próxima. Pesquisadores do AV-Test Institute analisaram a segurança de nove rastreadores de fitness populares, e algumas de suas descobertas não foram bonitas.
Em resumo, o Fitbit Charge e o Acer Liquid Leap não protegem suas conexões Bluetooth. Isso significa que seus dados estão sujeitos a serem roubados. O Jawbone Up24 e o Sony Smartband Talk SWR30 fizeram o melhor trabalho para proteger os dados do usuário.
É claro que apenas um item da linha de produtos de cada empresa foi testado, mas a prudência exige que as descobertas se apliquem em todos os aspectos. Só porque você tem um Fitbit Surge e não um Fitbit Charge não significa que você está seguro.
Quem se importa?
Mas espere, você pode dizer, não me importo com quem vê meus dados; Estou orgulhoso da minha aptidão! O relatório aponta algumas razões pelas quais essa atitude pode ser ingênua. Por exemplo, algumas seguradoras de saúde oferecem taxas mais baixas aos clientes que comprovam sua aptidão usando um rastreador. Um usuário sem escrúpulos pode seqüestrar os dados de um vizinho mais adequado para obter a taxa mais baixa ou roubar os dados e retê-los por resgate.
Se os dados do dispositivo não estiverem protegidos, eles poderão ser modificados de fora. "Não demorará muito para que as crianças façam brincadeiras com o yuppie, aumentando sua pressão arterial e dados de pulso em alguns instantes", observa o relatório, "dando aos hipocondríacos ainda mais coisas com que se preocupar". De fato, o relatório detalha a facilidade com que os pesquisadores conseguiram dominar um dispositivo específico.
Promiscuidade Bluetooth
Todos os rastreadores testados usam Bluetooth para se conectar a um aplicativo Android. Quando implementado corretamente, o emparelhamento Bluetooth pode ser bastante seguro. O Sony Smartband Talk SWR30, Polar Loop e Withings Pulse Ox ficam invisíveis para outros dispositivos, uma vez emparelhados com o telefone. Garmin Vivosmart e Huawei TalkBand B1 requerem autenticação para o emparelhamento. O Jawbone Up24 e o LG Lifeband Touch FB84 vão além, exigindo acesso físico ao dispositivo para emparelhamento.
Os dois restantes, Acer Liquid Leap e Fitbit Charge, não protegem a conexão BlueTooth. O Fitbit Charge, em particular, será emparelhado com qualquer dispositivo Bluetooth que esteja ao alcance, e os dados em texto sem formatação não estão protegidos. Os produtos Jawbone e Huawei não são tão abertos, mas emparelham com mais de um dispositivo. Quanto ao Acer Liquid Leap, parece exigir autenticação usando um código PIN, mas o código é estaticamente derivado do nome público do dispositivo.
Protegendo o aplicativo
Os programas Android são diferentes dos programas executáveis compilados que são executados no Windows. Qualquer pessoa pode descompilar um programa Android de volta ao seu código-fonte usando ferramentas prontamente disponíveis. Um hacker pode usar esse código-fonte para determinar como um aplicativo de fitness se comunica com seu rastreador correspondente e escrever um aplicativo falsificado para assumir o controle dessa comunicação.
Programadores inteligentes do Android usam ferramentas e técnicas para ofuscar o código do programa, dificultando a engenharia reversa. Eles também desativam os recursos de registro que são úteis durante a criação do programa, mas que fornecem detalhes internos do aplicativo. E é claro que eles compilam a versão final com a depuração desativada.
Apenas dois dos produtos testados, Jawbone Up24 e Sony Smartband Talk SWR30, usaram todas essas três técnicas. Huawei e Withings lançaram o código de depuração com o log ativado e aplicaram apenas ofuscação limitada. A Acer e a LG Lifeband não fizeram nenhuma tentativa de frustrar a engenharia reversa.
Os pesquisadores da AV-Test criaram facilmente um aplicativo falso que poderia sugar dados do dispositivo Acer. Eles até conseguiram alterar os registros internos do dispositivo, para que "o treino do dia fosse concluído em apenas alguns segundos, sem suar a camisa".
Más notícias, boas notícias
Se você enraizou seu telefone, é muito mais vulnerável a todos os tipos de hackers, incluindo hackers de rastreadores de fitness. A boa notícia é que todos os dispositivos testados armazenam corretamente seus dados na memória protegida. A má notícia é que, se você enraizou o telefone, essa memória não está mais protegida.
Mais boas notícias - todos os aplicativos testados protegeram corretamente seus dados em trânsito para a nuvem. Eles criptografaram os dados e os transmitiram usando
- Os melhores rastreadores de fitness de 2019 Os melhores rastreadores de fitness de 2019
- Jawbone UP24 Jawbone UP24
- Withings Pulse O2 Withings Pulse O2
- Sony SmartBand SWR10 Sony SmartBand SWR10
Vencedores e perdedores
O relatório completo detalha exatamente o que os pesquisadores aprenderam e mostra que a segurança disponível nessa área de produto varia muito. Um gráfico prático identifica 11 pontos importantes para a segurança do rastreador de fitness. No topo, o Sony Smartband Talk SWR30 perdeu apenas um - você não pode desativar o Bluetooth do rastreador. O Polar Loop perdeu o mesmo ponto e também não fez todo o possível contra a engenharia reversa, mas isso ainda é muito bom.
No outro extremo do espectro, o Acer Liquid Leap perdeu nove dos 11 pontos. Obteve crédito por manter os dados na memória protegida e crédito parcial por proteger a comunicação interna; Isso é tudo. O Fitbit Charge perdeu oito elementos de segurança, incluindo todos os relacionados à proteção das comunicações Bluetooth.
A equipe da AV-Test notificou formalmente todos os fornecedores de suas descobertas. Eles planejam investigações adicionais assim que os fornecedores tiverem tempo para acelerar seu jogo de segurança.
