Votre Fitness Tracker met-il votre sécurité en péril?

Il est difficile de déterminer d'où proviendront nos données. Nous prenons les précautions nécessaires sur tous nos appareils, en installant un logiciel antivirus, en exécutant des analyses de logiciels malveillants et, espérons-le, en vérifiant deux ou trois fois les courriels pour détecter tout élément suspect. Ce ne sont que quelques exemples des vecteurs d'attaque potentiels qui nous attendent..

Les chercheurs en sécurité ont révélé que, mis à part notre “ordinaire” Une des technologies les plus récentes pourrait offrir aux attaquants un angle inattendu, mais facilement accessible, pour voler nos données personnelles. Les traqueurs de fitness ont récemment été sous le feu des projecteurs en matière de sécurité après qu'un rapport technique ait mis en évidence une série de graves problèmes de sécurité dans leurs conceptions, permettant théoriquement à des attaquants potentiels d'intercepter vos données personnelles..

Fatal Fitness Flaws

Les meilleurs trackers pour améliorer votre corps 17 Les meilleurs gadgets pour améliorer votre corps Au cours des dernières années, l’innovation autour des gadgets de santé et de fitness a explosé. Voici quelques-uns des outils exceptionnels que vous pourrez utiliser pour rester en forme. Lire la suite au cours des dernières années. Le 4ème trimestre de 2015 a vu à lui seul une augmentation massive de 197% de ses ventes, passant de 7,1 millions à 21 millions d'unités. Analystes de marché Associés des parcs estime que le marché mondial des suiveurs de fitness continuera de croître, passant de 2 milliards de dollars en 2014 à 5,4 milliards de dollars en 2019. Il s'agit de gains importants, indiquant le nombre d'utilisateurs potentiellement exposés à ce vecteur d'attaque jusqu'alors inconnu.

Organisme de recherche canadien à but non lucratif Effet ouvert, et laboratoire de recherche interdisciplinaire Citizen Lab, a examiné huit des appareils portables de fitness les plus populaires actuellement disponibles: l'Apple Watch, le Basis Peak, le Fitbit Charge HR, le Garmin Vivosmart, le Jawbone UP 2, le Mio Fuse, le Withings Pulse O2 et le Xiaomi Mi Band.

Le rapport de recherche combiné cherchait à découvrir les mesures prises par les entreprises technologiques pour protéger et maintenir la sécurité de vos données. Bien que nous sachions et comprenions que les analyseurs de condition physique vont collecter des données sur les battements de cœur, les traces de pas, les calories et le sommeil, les chercheurs ont exploré ce qu'il advient de ces données lorsqu'elles sont entre les mains des développeurs de l'appareil..

Quelles données sont envoyées à un serveur distant? Comment les entreprises de technologie sécurisent-elles les données? Avec qui est-il partagé? Comment les entreprises utilisent-elles réellement l'information??

Les principales conclusions comprennent:

• Sept dispositifs de suivi de la condition physique sur huit émettent des identifiants uniques persistants (adresse de contrôle d'accès Bluetooth Media) qui peuvent exposer leurs porteurs au suivi à long terme de leur position lorsque le périphérique n'est pas couplé ni connecté à un périphérique mobile..
• Les applications Jawbone et Withings peuvent être exploitées pour créer de faux enregistrements de groupes de fitness. De tels faux dossiers remettent en question la fiabilité de l'utilisation des données de ce programme de suivi de la condition physique dans les procès et les programmes d'assurance..
• Les applications Garmin Connect (iPhone et Android) et Withings Health Mate (Android) présentent des vulnérabilités de sécurité qui permettent à un tiers non autorisé de lire, d'écrire et de supprimer des données utilisateur..
• Garmin Connect n'utilise pas de pratiques de sécurité de base pour la transmission de données pour ses applications iOS ou Android et expose par conséquent les informations relatives à la condition physique à la surveillance ou à la falsification..

Identifiants uniques persistants

La technologie portable émet un signal Bluetooth persistant. Que ce soit une smartwatch ou un suiveur de fitness, ce signal est utilisé pour communiquer de manière constante avec votre smartphone. Leur communication avec le périphérique externe est maintenue à l'aide d'une adresse MAC (contrôle d'accès au support) Qu'est-ce qu'une adresse MAC et peut-elle être utilisée pour sécuriser votre réseau domestique? [MakeUseOf explique] Qu'est-ce qu'une adresse MAC et peut-elle être utilisée pour sécuriser votre réseau domestique? [MakeUseOf explique] La structure et la gestion du réseau ont leur propre jargon. Certains des termes utilisés vous sembleront probablement familiers. Ethernet et Wi-Fi sont des concepts qui vont de soi, même si cela peut nécessiter un peu… Lire la suite, identifiant de manière unique le moniteur de fitness.

Dans le contexte des suivis de condition physique, la sécurité des données à caractère personnel exige que ces adresses soient randomisées afin d’empêcher que l’utilisateur ne puisse être suivi et identifié par l’adresse MAC. Les balises Bluetooth, utilisées de plus en plus fréquemment dans les centres commerciaux pour créer de la publicité mobile ciblée, permettent de suivre et de définir le profil de ces appareils à l'aide d'une seule adresse MAC (ils peuvent également être créés par toute personne disposant d'un ordinateur compact et approprié. un iBeacon de bricolage avec un Raspberry Pi Les publicités destinées à un utilisateur particulier qui se promène dans un centre métropolitain font partie de l'avenir dystopique, mais ce n'est pas du tout un avenir dystopique: la technologie est déjà là. En effet, des appareils testés, seule la Apple Watch randomisée son adresse MAC “à environ 10 minutes d'intervalle” pour protéger l'identité de son utilisateur.

Avec l'adresse MAC persistante enregistrée, l'emplacement de l'utilisateur pourrait être suivi d'une balise à l'autre. Si un centre commercial décide de collecter les informations de localisation des utilisateurs tout au long de leur visite, les données peuvent être vendues à une agence de marketing ou à un autre courtier de données, sans notification préalable à l'utilisateur. Si un seul courtier de données peut acheter plusieurs profils, les informations peuvent être rassemblées pour créer des profils de publicité sophistiqués et ciblés, activées chaque fois que l'utilisateur (et son identifiant de périphérique unique) entre dans le bâtiment..

Les applications sont aussi mauvaises

Chaque moniteur de fitness est livré avec sa propre application de surveillance, capturant la pléthore de données relatives au fitness et les traduisant en une belle représentation visuelle des actions des utilisateurs. Cependant, il a été constaté que les applications elles-mêmes divulguaient des informations personnelles sur plusieurs sites de transmission..

Par exemple, on pourrait s’attendre à ce que toute transmission de données à caractère personnel soit cryptée à l’aide du protocole HTTPS. Qu'est-ce que HTTPS et comment activer des connexions sécurisées par défaut? Qu'est-ce que HTTPS et comment activer des connexions sécurisées par défaut? ont atteint le devant de la plupart des esprits. Des termes tels que antivirus ou pare-feu ne sont plus un vocabulaire étrange et ne sont pas seulement compris, mais… Read More; Garmin Connect n'a pas réussi à le faire, laissant les données utilisateur passivement exposées à un indiscret potentiel.

De même, bien que Bellabeat Leaf et Withings Health Mate communiquent avec des serveurs distants via HTTPS, les deux entreprises ont envoyé des e-mails en texte clair aux utilisateurs pour confirmer leurs informations d'identification, les laissant ainsi ouverts aux attaques de type "man-in-the-middle". Tout attaquant possédant une connaissance pratique de l’API Bellabeat ou Withings peut accéder à un large éventail d’informations personnelles sur la condition physique en quelques minutes. Cette forme d’attaque pourrait également être utilisée pour transmettre des données malveillantes ou fausses au portable ou au téléphone de l’utilisateur..

Falsification des données

Trois des applications de suivi de la condition physique observées “étaient vulnérables à un utilisateur motivé créant de fausses données de fitness générées pour leur propre compte,” incitant les serveurs de l'entreprise à accepter de fausses données. Effet ouvert et Citizen Lab création de plusieurs applications conçues pour amener les serveurs de suivi de la condition physique à accepter de fausses informations, avec notamment Bellabeat LEAF, Jawbone UP et Withings Health Mate.

“Nous avons envoyé une demande à Jawbone indiquant que notre utilisateur de test avait effectué dix milliards de pas en une journée.”

Leur application a uniformément réparti les pas de temps en intervalles fixes sur une période souhaitée, créant une distribution artificielle de pas. Les chercheurs ont conclu qu'une approche plus sophistiquée serait “allouer au hasard des étapes pour établir une distribution plus réaliste” pour échapper à la détection.

Pourquoi c'est un problème?

Les suiveurs de fitness peuvent maintenir un flux continu de collecte de données personnelles. Quelle quantité de vos données personnelles pourrait être suivie par les appareils intelligents? Quelle quantité de vos données personnelles les appareils intelligents pourraient-ils suivre? Les préoccupations de sécurité et de confidentialité des maisons intelligentes sont toujours aussi réelles. Et même si nous aimons l'idée de technologie intelligente, ce n'est qu'une des nombreuses choses à prendre en compte avant de plonger… Lire la suite. Les vecteurs de collecte de données courants comprennent les pas, le rythme cardiaque, les habitudes de sommeil, l’altitude, la géolocalisation, la qualité des activités et les types d’activités..

Certains des suiveurs de conditionnement physique encouragent leurs utilisateurs à participer à d'autres activités physiques ou sociales, telles que spécifier des aliments pour le comptage et l'analyse du pouvoir calorifique, l'humeur personnelle à des moments précis de la journée (y compris en ce qui concerne les activités et la consommation d'aliments), pour consigner leur forme physique. objectifs 10 modèles Excel pour suivre votre santé et votre forme physique 10 modèles Excel pour votre santé et votre forme physique En savoir plus et suivre les progrès au fil du temps Suivre les zones clés de votre vie en une minute avec Google Forms Suivre les zones clés de votre vie en 1 minute avec Google Forms C'est incroyable ce que vous pouvez apprendre sur vous-même lorsque vous prenez le temps de faire attention à vos habitudes et à vos comportements quotidiens. Utilisez les formulaires polyvalents de Google pour suivre vos progrès par rapport à des objectifs importants. Pour en savoir plus ou pour rivaliser avec d’autres passionnés de fitness dans des environnements de tableau de bord ludiques inspirés des réseaux sociaux Les meilleures applications de mise en forme sociale pour travailler avec les amis et la famille Les meilleures applications de mise en forme sociales pour travailler avec les amis et la famille les meilleures façons de rester responsables devant vos amis, mais vous devez trouver l'application qui vous convient le mieux! Lire la suite .

Les questions soulevées par Effet ouvert et Citizen Lab illustrer les dangers liés au fait de s’en remettre aux suivis physiques pour fournir des données personnelles fiables dans diverses situations. Les données de suivi de la condition physique ont été utilisées pour sécuriser des polices d’assurance ou pour indiquer l’avancement des problèmes médicaux, mais nous constatons qu’elles pourraient facilement être falsifiées..

En outre, ces problèmes de données rendent-ils discutables la nature même de ces entreprises de technologie de suivi du fitness? Comment ces faibles tentatives de protection des données se traduisent-elles dans leurs autres produits? Le problème ne concerne pas uniquement les suivis de fitness, et les citoyens et les régulateurs devraient faire plus pour que les données des utilisateurs soient protégées à tout moment, sinon nous risquerions de voir des industries entières minées par leur manque apparent de soin et leur discrétion face aux données privées..

Quoi ensuite?

Les conclusions du rapport sont claires: sécurité accrue sur la base des recommandations du Effet ouvert et Citizen Lab. La sécurité personnelle et privée est sérieuse et nous devrions régler les problèmes dès leur arrivée. Mais ce n'est pas seulement une sécurité renforcée qui est nécessaire. Les utilisateurs de Fitness Tracker doivent comprendre où leurs données sont envoyées, où elles sont stockées et quelles autres parties y ont accès..

Il incombe aux entreprises technologiques de communiquer à leurs utilisateurs toute la profondeur de la surveillance technique à laquelle ils ont acquiescé, qu’ils le réalisent ou non, ainsi que ses risques potentiels..

Est-il temps de jeter votre moniteur de fitness? Probablement pas, surtout si vous possédez une montre Apple Not Not The Apple Watch: 9 conçu pour être utilisé avec un iPhone. Lire la suite . Malgré les réactions mitigées concernant les conclusions du rapport technique des fabricants de systèmes de suivi de la condition physique, il est peu probable que ces vulnérabilités existeront longtemps..

Ou, on peut au moins espérer qu'ils n'existeront pas longtemps.

Êtes-vous inquiet à propos de votre tracker de fitness? Avez-vous perdu des données avec la technologie portable? Qu'est-il arrivé? Faites-nous savoir ci-dessous!

Explorer plus sur: Fitness, Sécurité en ligne, Technologie portable.