Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Sicurezza dei dati sensibili, smartwatch e wearable: 3 regole da osservare

pittogramma Zerouno

News

Sicurezza dei dati sensibili, smartwatch e wearable: 3 regole da osservare

26 Giu 2018

di Redazione

I dispositivi wearable intelligenti possono rappresentare un prezioso strumento per raccogliere dati, questi se utilizzati in modo improprio, permettono di monitorare le attività degli utenti e di dare accesso a informazioni sensibili

I dispositivi wearable intelligenti, compresi gli smartwatch e i fitness tracker, sono utilizzati di solito nel corso delle attività sportive, per monitorare la salute, ricevere notifiche push e altro ancora. Per svolgere le loro funzioni principali, la maggior parte di questi dispositivi è dotata di sensori di accelerazione incorporati (gli accelerometri), che sono spesso combinati con sensori di rotazione (i giroscopi) per il conteggio dei passi e per conoscere la posizione corrente del loro utilizzatore.

Gli esperti di Kaspersky Lab hanno deciso di esaminare quali informazioni di un utente potrebbero essere fornite a terzi non autorizzati da questi sensori e hanno analizzato da vicino diversi smartwatch di una serie di produttori.

Per esaminare tutta la questione, è stata sviluppata un’applicazione per smartwatch abbastanza semplice che registrava segnali da accelerometri e giroscopi integrati. I dati registrati sono stati quindi archiviati nella memoria del dispositivo wearable o caricati sullo smartphone abbinato allo stesso tramite Bluetooth. Utilizzando gli algoritmi matematici disponibili per la potenza di calcolo del wearable intelligente, è stato possibile identificare alcuni modelli comportamentali, capire il momento e il luogo nel quale un utente si stava muovendo e anche per quanto tempo ha condotto una certa azione. Cosa ancora più importante, è stato possibile identificare alcune attività sensibili degli utenti, compreso l’inserimento di una passphrase sul computer (con una precisione fino al 96%), l’uso di un codice PIN presso i bancomat (circa all’87%) e lo sblocco del proprio smartphone (circa al 64%).

Lo stesso set di dati del segnale è un modello comportamentale unico per il proprietario del dispositivo. Utilizzando questo, una terza parte potrebbe andare oltre e cercare di riconoscere l’identità dell’utente – sia tramite un indirizzo email richiesto in fase di registrazione da una app, sia tramite l’accesso alle credenziali dell’account su Android.

Dopo questo, l’identificazione di informazioni dettagliate su una potenziale vittima – compresa la sua routine quotidiana o i momenti nei quali vengono inseriti dati importanti – è solo una questione di tempo. Considerando il prezzo in crescita per i dati privati degli utenti, potremmo trovarci velocemente in un mondo in cui le terze parti scelgono di monetizzare questa forma di accesso alle informazioni sensibili.

Smartphone e wearable in mano ai criminali informatici, cosa fare per evitare pericoli?

Se la sopracitata tipologia di utilizzo non venisse capitalizzata, ma fosse a disposizione di criminali informatici per scopi malevoli, le possibili conseguenze per la sicurezza potrebbero essere limitate solo dalla loro immaginazione e dal loro livello di conoscenza tecnica. Per esempio, potrebbero riuscire a decrittare i segnali ricevuti utilizzando reti neurali, attaccare le vittime o installare degli skimmer sugli sportelli bancomat che usano di solito. Abbiamo già avuto modo di vedere più sopra come i criminali possano raggiungere un’accuratezza dell’80% quando tentano di decrittare i segnali di un accelerometro o di identificare una password o un PIN utilizzando solo i dati raccolti dai sensori degli smartwatch.

Di conseguenza, i ricercatori di Kaspersky Lab consigliano agli utenti di prestare attenzione a quanto segue quando indossano dispositivi smart:

  1. Se l’applicazione invia una richiesta per il recupero delle informazioni sull’account dell’utente, questo potrebbe essere un motivo di preoccupazione, perché i cybercriminali potrebbero facilmente ricostruire una sorta di “impronta digitale” del proprietario del dispositivo.
  2. Anche la richiesta di permesso per l’invio di dati di geolocalizzazione da parte dell’applicazione dovrebbe essere un motivo di preoccupazione. Non fornire alle applicazioni di fitness tracking che si scaricano sul proprio smartwatch permessi extra o settare il proprio indirizzo email aziendale come login.
  3. Un consumo veloce della batteria di un dispositivo può essere un ulteriore campanello di allarme. Se il gadget si scarica in poche ore invece che durare un intero giorno, bisognerebbe controllare cosa sta davvero facendo. Potrebbe essere impegnato nella scrittura di log di segnale o, ancora peggio, inviarli da qualche parte.

“I wearable intelligenti non sono solo gadget in miniatura, sono sistemi cyber-fisici in grado di registrare, memorizzare ed elaborare parametri fisici. La nostra ricerca mostra come anche algoritmi molto semplici, eseguiti sullo smartwatch stesso, possano essere in grado di catturare il profilo unico di un utente dai segnali dell’accelerometro o del giroscopio. Questi profili possono quindi essere utilizzati per portare un utente fuori dall’anonimato e tenere traccia delle sue attività, compresi i momenti nei quali vengono inserite informazioni sensibili. Un processo che può essere condotto utilizzando app per smartwatch legittime che inviano segretamente dati a terze parti” ha commentato Morten Lehn, General Manager Italy di Kaspersky Lab.

Morten Lehn

General Manager Italy di Kaspersky Lab

Redazione

Nel corso degli anni ZeroUno ha esteso la sua originaria focalizzazione editoriale, sviluppata attraverso la rivista storica, in un più ampio sistema di comunicazione oggi strutturato in un portale, www.zerounoweb.it, una linea di incontri con gli utenti e numerose altre iniziative orientate a creare un proficuo matching tra domanda e offerta.

Argomenti trattati

Personaggi

Morten Lehn

Approfondimenti

D
Data Privacy
D
data security
H
hacker
M
Malware
Sicurezza dei dati sensibili, smartwatch e wearable: 3 regole da osservare

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    LinkedIn

    Twitter

    Whatsapp

    Facebook

    Link

    Articolo 1 di 4