A Kaspersky Lab revela-lhe o quanto o seu smartwatch sabe sobre si

  • Nova investigação revela que os smartwatches podem tornar-se em ferramentas para espiar os seus utilizadores.
  • Os investigadores recolheram sinais silenciosos registados pelo acelerómetro e pelo giroscópio que, após uma análise, podem ser transformados num perfil de dados único ao utilizador.
  • Estes dados, quando utilizados de forma errada, permitem uma monitorização das atividades do utilizador, incluindo o acesso a informação sensível.
  • Estas são as descobertas da nova investigação da Kaspersky Lab sobre o impacto que a proliferação das IoT pode ter na vida quotidiana dos utilizadores e na segurança da sua informação.

Mais recentemente, a indústria de cibersegurança demonstrou que as informações privadas dos utilizadores se tornaram num bem extremamente valioso devido ao seu potencial criminoso – incluindo a criação de um sofisticado perfil digital das vítimas ou a previsão de compras com base no comportamento do utilizador. Mas, enquanto a crescente paranoia dos consumidores quanto à má utilização dos seus dados pessoais é muitas vezes direcionada para plataformas online e métodos de recolha de dados, outras fontes de ameaça, menos óbvias, continuam a não estar sob proteção. Por exemplo, para ajudar no seu estilo de vida saudável, muitos utilizadores recorrem a fitness trackers para monitorizar as suas atividades desportivas e o seu exercício, com consequências muito perigosas.

Pequenos acessórios inteligentes, como os smartwatches ou os fitness trackers, são vulgarmente utilizados em atividades desportivas para monitorizar os sinais vitais e enviar notificações ao utilizador. Para executar estas funções, a maioria está equipada com sensores de aceleração (acelerómetros), muitas vezes combinados com sensores de rotação (giroscópios) para contagem de passos e identificação da posição do utilizador. Os especialistas da Kaspersky Lab decidiram examinar que tipo de informação poderiam estes dispositivos fornecer a terceiros não autorizados, e analisaram mais detalhadamente vários smartwatches de diferentes fornecedores.

Para examinar este detalhe, os especialistas desenvolveram uma simples aplicação para smartwatches que grava os sinais dos acelerómetros e giroscópios integrados nos dispositivos. Os dados obtidos foram depois guardados na memória do dispositivo ou transferidos para o telemóvel emparelhado por Bluetooth.


Pub

Ao utilizar algoritmos matemáticos disponíveis para a fonte de computação do dispositivo, foi possível identificar padrões de comportamento do utilizador, os períodos quando e onde este se movimentava, e durante quanto tempo o fazia. Mais importante ainda, foi possível identificar atividades sensíveis do utilizador, incluindo aceder ao computador com uma passphrase (com 96% de precisão), introduzir um código PIN num multibanco (cerca de 87%) e desbloquear um telemóvel (aproximadamente 64%).

Os dados dos sinais recolhidos formam um padrão comportamental único do utilizador do dispositivo. Recorrendo a esta informação, uma terceira entidade poderá tentar identificar a identidade do utilizador – que através do email utilizado para registar e aceder à aplicação ou através das credenciais de acesso da conta Android. Após este passo, é apenas uma questão de tempo até que todas as informações da vítima sejam compiladas, incluindo a sua rotina diária e os momentos em que acede a informações importantes. E, considerando o valor cada vez mais elevado das informações privadas dos utilizadores, estamos cada vez mais próximos de uma realidade onde terceiros monetizam este vetor.

Mas, mesmo que este exploit não seja capitalizado, os hackers poderão utilizá-lo para os seus propósitos maliciosos, e as possíveis consequências estão limitadas apenas pela imaginação e pelo nível de conhecimento tecnológico. Por exemplo, um hacker poderia desencriptar os sinais captados através de redes neurais, assaltar as vítimas ou instalar skimmers nos multibancos que costumam utilizar; uma outra investigação da Kaspersky Lab revelou que os hackers podem atingir uma precisão de 80% quando tentam desencriptar sinais dos acelerómetros e desencriptar as palavras-passe e os PIN recorrendo apenas às informações recolhidas pelos sensores dos smartwatches.

“Acessórios inteligentes não são apenas dispositivos em miniaturas, são sistemas ciberfísicos que podem gravar, armazenar e processar parâmetros físicos. A nossa investigação revelou que mesmo algoritmos muito simples, aplicados aos smartwatches, conseguem capturar o perfil único do utilizador com base nos sinais dos acelerómetros e dos giroscópios. Estes perfis podem ser depois utilizados para identificar o utilizador e rastrear as suas atividades, incluindo os momentos em que acede a informações sensíveis. E isto pode ser feito através de aplicações legítimas para smartwatches que enviam, silenciosamente, sinais para entidades externas,” afirmou Sergey Lurye, entusiasta de segurança e coautor da investigação da Kaspersky Lab.
Investigadores da Kaspersky Lab aconselham os utilizadores a prestar atenção às seguintes particularidades quando utilizarem acessórios inteligentes:

1) Se a aplicação envia pedidos para recolher informações da conta do utilizador, é motivo para preocupação – porque os hackers podem construir um perfil digital do utilizador a partir dos dados compilados;

2) Se a aplicação necessita de permissão para enviar dados de geo-localização, é ainda mais preocupante. Não conceda permissões às aplicações de fitness ou utilize o seu email profissional como acesso à aplicação;

3) Um consumo elevado da bateria do dispositivo pode também ser um aviso. Se o acessório gasta toda a bateria em algumas horas em vez de um dia, verifique as suas atividades – pode estar a fazer registo dos sinais ou a enviá-los a terceiros.

Artigos relacionados