11 °C Lisbon, PT
2018-12-14

A Kaspersky Lab revela-lhe o quanto o seu smartwatch sabe sobre si

  • Nova investigação revela que os smartwatches podem tornar-se em ferramentas para espiar os seus utilizadores.
  • Os investigadores recolheram sinais silenciosos registados pelo acelerómetro e pelo giroscópio que, após uma análise, podem ser transformados num perfil de dados único ao utilizador.
  • Estes dados, quando utilizados de forma errada, permitem uma monitorização das atividades do utilizador, incluindo o acesso a informação sensível.
  • Estas são as descobertas da nova investigação da Kaspersky Lab sobre o impacto que a proliferação das IoT pode ter na vida quotidiana dos utilizadores e na segurança da sua informação.

Mais recentemente, a indústria de cibersegurança demonstrou que as informações privadas dos utilizadores se tornaram num bem extremamente valioso devido ao seu potencial criminoso – incluindo a criação de um sofisticado perfil digital das vítimas ou a previsão de compras com base no comportamento do utilizador. Mas, enquanto a crescente paranoia dos consumidores quanto à má utilização dos seus dados pessoais é muitas vezes direcionada para plataformas online e métodos de recolha de dados, outras fontes de ameaça, menos óbvias, continuam a não estar sob proteção. Por exemplo, para ajudar no seu estilo de vida saudável, muitos utilizadores recorrem a fitness trackers para monitorizar as suas atividades desportivas e o seu exercício, com consequências muito perigosas.

Pequenos acessórios inteligentes, como os smartwatches ou os fitness trackers, são vulgarmente utilizados em atividades desportivas para monitorizar os sinais vitais e enviar notificações ao utilizador. Para executar estas funções, a maioria está equipada com sensores de aceleração (acelerómetros), muitas vezes combinados com sensores de rotação (giroscópios) para contagem de passos e identificação da posição do utilizador. Os especialistas da Kaspersky Lab decidiram examinar que tipo de informação poderiam estes dispositivos fornecer a terceiros não autorizados, e analisaram mais detalhadamente vários smartwatches de diferentes fornecedores.

Para examinar este detalhe, os especialistas desenvolveram uma simples aplicação para smartwatches que grava os sinais dos acelerómetros e giroscópios integrados nos dispositivos. Os dados obtidos foram depois guardados na memória do dispositivo ou transferidos para o telemóvel emparelhado por Bluetooth.

Ao utilizar algoritmos matemáticos disponíveis para a fonte de computação do dispositivo, foi possível identificar padrões de comportamento do utilizador, os períodos quando e onde este se movimentava, e durante quanto tempo o fazia. Mais importante ainda, foi possível identificar atividades sensíveis do utilizador, incluindo aceder ao computador com uma passphrase (com 96% de precisão), introduzir um código PIN num multibanco (cerca de 87%) e desbloquear um telemóvel (aproximadamente 64%).

Os dados dos sinais recolhidos formam um padrão comportamental único do utilizador do dispositivo. Recorrendo a esta informação, uma terceira entidade poderá tentar identificar a identidade do utilizador – que através do email utilizado para registar e aceder à aplicação ou através das credenciais de acesso da conta Android. Após este passo, é apenas uma questão de tempo até que todas as informações da vítima sejam compiladas, incluindo a sua rotina diária e os momentos em que acede a informações importantes. E, considerando o valor cada vez mais elevado das informações privadas dos utilizadores, estamos cada vez mais próximos de uma realidade onde terceiros monetizam este vetor.

Mas, mesmo que este exploit não seja capitalizado, os hackers poderão utilizá-lo para os seus propósitos maliciosos, e as possíveis consequências estão limitadas apenas pela imaginação e pelo nível de conhecimento tecnológico. Por exemplo, um hacker poderia desencriptar os sinais captados através de redes neurais, assaltar as vítimas ou instalar skimmers nos multibancos que costumam utilizar; uma outra investigação da Kaspersky Lab revelou que os hackers podem atingir uma precisão de 80% quando tentam desencriptar sinais dos acelerómetros e desencriptar as palavras-passe e os PIN recorrendo apenas às informações recolhidas pelos sensores dos smartwatches.

“Acessórios inteligentes não são apenas dispositivos em miniaturas, são sistemas ciberfísicos que podem gravar, armazenar e processar parâmetros físicos. A nossa investigação revelou que mesmo algoritmos muito simples, aplicados aos smartwatches, conseguem capturar o perfil único do utilizador com base nos sinais dos acelerómetros e dos giroscópios. Estes perfis podem ser depois utilizados para identificar o utilizador e rastrear as suas atividades, incluindo os momentos em que acede a informações sensíveis. E isto pode ser feito através de aplicações legítimas para smartwatches que enviam, silenciosamente, sinais para entidades externas,” afirmou Sergey Lurye, entusiasta de segurança e coautor da investigação da Kaspersky Lab.
Investigadores da Kaspersky Lab aconselham os utilizadores a prestar atenção às seguintes particularidades quando utilizarem acessórios inteligentes:

1) Se a aplicação envia pedidos para recolher informações da conta do utilizador, é motivo para preocupação – porque os hackers podem construir um perfil digital do utilizador a partir dos dados compilados;

2) Se a aplicação necessita de permissão para enviar dados de geo-localização, é ainda mais preocupante. Não conceda permissões às aplicações de fitness ou utilize o seu email profissional como acesso à aplicação;

3) Um consumo elevado da bateria do dispositivo pode também ser um aviso. Se o acessório gasta toda a bateria em algumas horas em vez de um dia, verifique as suas atividades – pode estar a fazer registo dos sinais ou a enviá-los a terceiros.

Recomendado para si

Mantenha-se conectado com soluções de segurança que se adaptam ao seu ... Hoje em dia, os utilizadores são obrigados diariamente a escolher entre a oportunidade de estarem conectados ou de preservar a sua privacidade Quanto ...
Kaspersky Lab deteta vulnerabilidades nos chips de localização de anim... Investigadores da Kaspersky Lab detetaram vulnerabilidades na segurança de várias marcas de localização de animais, entre elas a Kippy Vita, Nuzz...
Kaspersky Lab e cerveja Pilsner Urquell juntas para proteger indústria... Os ciberataques contra redes industriais tornaram-se prevalentes nos últimos anos. De acordo com a equipa ICS CERT (Industrial Control Systems Cyber E...
O regresso do Olympic Destroyer Os investigadores da Kaspersky Lab que acompanham a ameaça Olympic Destroyer descobriram que o grupo de hackers que a desenvolveu ainda está ativo Os...
Páginas de Facebook falsas responsáveis por 60% do phishing em redes s... No primeiro trimestre de 2018, as tecnologias anti phishing da Kaspersky Lab evitaram mais de 3.7 milhões de tentativas de visitas a páginas de redes ...
Record histórico: mais de 50% do phishing em 2017 foi financeiro · Em 2017, as tecnologias anti-phishing da Kaspersky Lab detetaram mais de 246 milhões de tentativas de levar os utilizadores a visitar diferentes tip...