Kelemahan Keamanan dan Privasi Ditemukan di Perangkat Wearable Populer


Di sini, di vpnMentor, kami menugaskan laporan untuk menguji keamanan dan privasi tiga perangkat yang dapat dikenakan di sektor kesehatan dan kebugaran.

Sol Hangat Digitsole, Modius Headband dan Ivy Health Kids Thermometer adalah semua ditemukan mengumpulkan dan memaparkan informasi pribadi, membahayakan privasi penggunanya. Dalam kasus Digitsole dan Modius, peretas dapat memasangkan dengan perangkat pengguna dan mengendalikannya, memungkinkan mereka menyebabkan kerusakan fisik pada orang yang menggunakannya.

Kami menggambarkan detail temuan kami di bawah ini.

Apa itu Tech Yang Dapat Dipakai?

Tech yang bisa dipakai, yang merupakan singkatan dari teknologi wearable, adalah gadget pintar yang Anda kenakan. Gadget ini memiliki sensor cerdas, koneksi web, dan dapat terhubung secara nirkabel ke ponsel Anda. Produk yang dapat dikenakan yang populer termasuk jam tangan pintar, pelacak kebugaran, kacamata video, dan banyak lagi.

Meskipun perangkat ini berguna dalam banyak hal, mereka terhubung ke internet, yang artinya mereka bisa diretas.

Bagaimana Kami Memeriksa Perangkat Ini

Kami memperhatikan tiga perangkat yang dapat dikenakan yang semuanya berkaitan dengan kesehatan atau kebugaran. Kami mengunduh versi terbaru dari Google Play Store di ponsel Android 8.0 dan mencegat dan memindai lalu lintas Bluetooth dan WiFi.

Kami menilai setiap perangkat dari 5 pada keamanan dan privasi.

Keamanan diukur dengan seberapa mudah seorang hacker dapat mengakses informasi pengguna dan mengontrol perangkat.

Privasi diukur dengan data apa yang dikumpulkan aplikasi dari penggunanya (dengan atau tanpa izin).

Penelitian kami menemukan itu ketiga aplikasi ini terhubung melalui Bluetooth tanpa otentikasi apa pun, mengumpulkan lokasi dan pengenal pribadi, dan menggunakan Facebook atau Google Analytics.

Sol Hangat Digitsole Mengumpulkan lokasi, usia, tinggi, jenis kelamin, berat, kecepatan, kalori yang terbakar, langkah yang diambil, dan informasi Facebook. Skor keamanan akhir: 2/5 Skor privasi akhir: 2/5
Modius Headband Mengumpulkan lokasi, sidik jari, informasi Facebook, dan pengidentifikasi perangkat seluler yang unik Skor keamanan akhir: 4/5 Skor privasi akhir: 3/5
Ivy Health Kids Mengumpulkan informasi pribadi lokasi, kamera, anak dan orang tua, pengukuran suhu, Google Analytics, dan pengidentifikasi perangkat seluler yang unik. Skor keamanan akhir: 2/5 Skor privasi akhir: 2/5

Kelemahan Keamanan dan Privasi Ditemukan di Perangkat Wearable Populer

Rincian Kerentanan Teknologi yang Dapat Dipakai

Sol Hangat Digitsole
Kelemahan Keamanan dan Privasi Ditemukan di Perangkat Wearable Populer

Sol ini dimaksudkan dan dirancang untuk pelari keranjingan di iklim dingin. Sol tidak hanya menghangatkan kaki Anda, tetapi mereka melacak aktivitas fisik pengguna sehari-hari.

Laporan kami menunjukkan bahwa aplikasi memperlihatkan informasi pribadi, termasuk lokasi.

Menurut kebijakan privasi Digitsole, aplikasi mengumpulkan sedikit informasi pengguna dan tidak ada yang dijual atau diteruskan ke pihak ketiga. Ini juga menyatakan bahwa ada cara untuk menghapus setiap dan semua data yang dikumpulkan pengguna.

Namun, kami perhatikan bahwa aplikasi mengakses lokasi dan penyimpanan ponsel Anda. Kami juga memperhatikan bahwa aplikasi mengumpulkan data tentang profil dan teman Facebook Anda, jumlah langkah yang Anda ambil per hari, berapa banyak kalori yang Anda bakar, kecepatan, jenis kelamin, berat, dan tinggi badan Anda.

Tambahan, aplikasi terus mengakses lokasi ponsel Anda selama lokasi Anda dihidupkan dan perangkat berjalan di latar belakang, bahkan jika Anda mematikan fitur pelacakan.

Dengan menghubungkan ke Bluetooth, yang tidak memiliki otentikasi, peretas dapat dengan mudah mengubah suhu sol, kadang-kadang menaikkan panas hingga 113 ° F (45 ° C). Mereka juga dapat mengumpulkan informasi yang dilakukan dan tidak diberikan oleh pengguna.

Data langsung diberikan oleh pengguna saat mendaftar ke Digitsole: Data tidak secara langsung diberikan oleh pengguna:
  • Usia
  • Lokasi dengan cap waktu
  • Tinggi
  • Profil Facebook dan teman-teman
  • Bobot
  • Kalori terbakar
  • Jenis kelamin
  • Kecepatan
  • Langkah yang diambil

Data pendaftaran dikirim ke server Digitsole. Namun, data waktu nyata dikirim ke server pada interval tetap setiap beberapa detik. Semua data dikirim melalui HTTPS yang terhubung terenkripsi yang terhubung.

Kelemahan Keamanan dan Privasi Ditemukan di Perangkat Wearable Populer

Aplikasi Digitsople mengumpulkan data Facebook

Modius Headband

Kelemahan Keamanan dan Privasi Ditemukan di Perangkat Wearable Populer

Perangkat penurunan berat badan yang dapat dikenakan ini ditemukan memiliki kerentanan terkait informasi pengguna.

Modius Headband adalah dirancang untuk mengubah berat badan dan selera makan pengguna dengan mengirimkan sinyal listrik ke otak.

Kami menguji versi 1.6.0 dari aplikasi Android Modius dan menemukan bahwa ia mengumpulkan lokasi dan akses sidik jari.

Ini tentu saja teknologi canggih; namun, karena terhubung ke Bluetooth (yang tidak diautentikasi) peretas dapat memperoleh detail tentang tubuh pengguna, termasuk panjang pinggang, persentase lemak tubuh, dan bahkan sidik jari.

Peretas penetrasi juga dapat mengetahui lokasi setiap pengguna dan, ketika secara fisik cukup dekat, berada dapat mengontrol perangkat. Ini artinya mereka bisa mulai atau hentikan pemindaian ikat kepala dan ubah arus listrik ke tingkat tertinggi, yang menyebabkan mual dan penyakit umum.

Meskipun ini berbahaya, kami tidak menemukan paparan informasi pengguna pribadi.

Namun, kami dapat melacak yang berikut:

  • Lokasi
  • Sidik jari
  • Pelacakan Facebook
  • Bobot
  • Tinggi
  • Ukuran pinggang
  • Persentase lemak tubuh
  • Riwayat penggunaan perangkat Modius
  • Data pribadi, Tanggal lahir, Nama, dan alamat email.

Kelemahan Keamanan dan Privasi Ditemukan di Perangkat Wearable Populer

Aplikasi Modius terintegrasi dengan Facebook dan membutuhkan akses lokasi. 

Semua data pribadi dikirim ke server Modius setelah pendaftaran, sementara semua data yang tersisa dikirim setiap kali aplikasi digunakan secara berkala. Kami juga melihat bahwa semua data dikirim melalui saluran terenkripsi menggunakan HTTPS.

Termometer Anak Kesehatan Ivy

Kelemahan Keamanan dan Privasi Ditemukan di Perangkat Wearable Populer

Termometer lengan pintar dan portabel ini ditujukan untuk bayi dan anak kecil dan menghubungkan melalui Bluetooth ke aplikasi perangkat seluler yang mengontrolnya. Perangkat yang berguna ini memungkinkan Anda untuk pantau suhu bayi Anda setiap saat dan melaporkan temuannya ke ponsel Anda melalui Bluetooth.

Sementara kerusakan fisik tidak dapat dilakukan, kami menemukan bahwa itu memperlihatkan informasi pribadi.

Dari tiga perangkat yang dapat dikenakan diuji, jumlah informasi yang dikumpulkan oleh Ivy Health Kids adalah yang tertinggi.

Kami menguji versi 1.0, yang membutuhkan banyak izin termasuk untuk membaca dan menulis akses ke penyimpanan eksternal, kamera, lokasi, dan banyak lagi.

Kelemahan Keamanan dan Privasi Ditemukan di Perangkat Wearable Populer

Daftar izin IvyHealth

Peretas dapat mengakses nama anak-anak, tanggal lahir, jenis kelamin, dan lainnya dari mereka yang menggunakan perangkat untuk memonitor suhu. Penyerang juga menemukan informasi mengenai hubungan keluarga masing-masing anak. Informasi ini berpotensi mengekspos struktur seluruh keluarga, hubungan, dan, tentu saja, suhu mereka. dan riwayat pengukuran suhu mereka.

Mungkin yang paling memprihatinkan adalah kenyataan bahwa API dan portal aplikasi dilayani melalui HTTP yang tidak aman. Kerentanan ini membuat nama pengguna dan kata sandi pengguna dalam risiko.

Dengan kerentanan ini, tidak mengherankan bahwa keamanan perangkat yang dapat dipakai tetap dipertanyakan, dan bahkan perangkat sederhana dapat dikompromikan. Jerman melarang anak-anak smartwatches tahun lalu dan Cina melarang penggunaan smartwatch di tentara beberapa tahun yang lalu.

Namun peningkatan risiko di sekitar produk pakaian tidak menghentikan kenaikannya. Pasar pakaian yang dapat dikenakan secara keseluruhan diperkirakan akan tumbuh dari 113,2 juta pengiriman pada tahun 2017 menjadi 222,3 juta pada tahun 2021 dengan tingkat pertumbuhan tahunan gabungan (CAGR) sebesar 18,4%, menurut International Data Corporation (IDC) Pelacak Perangkat Wearable Triwulan Seluruh Dunia.

Sekaranglah saatnya untuk memikirkan kembali pendekatan kami terhadap keamanan dan privasi dalam hal pakaian?

Klik di sini untuk melihat laporan lengkap yang berisi lebih banyak detail yang berkaitan dengan peringkat privasi dan keamanan setiap perangkat.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me