Sikkerhets- og personvernfeil oppdaget på populære bærbare enheter

Her på vpnMentor bestilte vi en rapport for å teste sikkerheten og personvernet til tre bærbare apparater innen helse og helse.

Digitsole Varme innleggssåler, Modius pannebånd og Ivy Health Kids-termometer var alle funnet å samle inn og eksponere personlig informasjon, å sette brukerenes personvern i fare. Når det gjelder Digitsole og Modius, hackere kunne parre seg med en brukers enhet og kontrollere den, slik at de kan forårsake fysisk skade på personen som bruker den.

Vi beskriver detaljene om funnene våre nedenfor.

Hva er Wearable Tech?

Bærbar teknikk, som står for bærbar teknologi, er smarte dingser du bruker. Disse dingsene har smarte sensorer, nettforbindelse og kan koble seg trådløst til telefonen din. Populære wearables inkluderer smartur, fitness trackere, videoglass og mer.

Selv om disse bærbare stoffene er nyttige på mange måter, kobler de seg til internett, noe som betyr de kan bli hacket.

Hvordan vi inspiserte disse enhetene

Vi tok en titt på tre bærbare apparater som alle angår helse eller kondisjon på en eller annen måte. Vi lastet ned de nyeste versjonene fra Google Play Store på en Android 8.0-telefon og avlyttet og skannet Bluetooth- og WiFi-trafikk.

Vi graderte hver enhet ut av 5 på både sikkerhet og personvern.

Sikkerhet måles ved hvor enkelt en hacker kan få tilgang til brukerinformasjonen og kontrollere enheten.

Personvern måles med hvilke data appen samler inn fra sine brukere (med eller uten tillatelse).

Forskningen vår fant det ut alle disse tre appene kobles til via Bluetooth uten noen godkjenning, samler sted og personlige identifikatorer og brukte Facebook eller Google Analytics.

Digitsole Varme innleggssåler Samler beliggenhet, alder, høyde, kjønn, vekt, hastighet, forbrente kalorier, skritt og Facebook-informasjon. Endelig sikkerhetspoeng: 2/5 Endelig personvernpoeng: 2/5
Modius Pannebånd Samler sted, fingeravtrykk, Facebook-informasjon og unike identifikatorer for mobilenheter Endelig sikkerhetspoeng: 4/5 Endelig personvernpoeng: 3/5
Ivy Health Kids Samler informasjon om sted, kamera, barn og foreldre, temperaturmålinger, Google Analytics og unike identifikatorer for mobilenheter. Endelig sikkerhetspoeng: 2/5 Endelig personvernpoeng: 2/5

Sikkerhets- og personvernfeil oppdaget på populære bærbare enheter

Detaljer om sikkerhetsproblemer i Wearable Tech

Digitsole Varme innleggssåler
Sikkerhets- og personvernfeil oppdaget på populære bærbare enheter

Disse innleggssålene er beregnet og designet for ivrige løpere i kaldt klima. Innersålene varmer ikke bare føttene dine, men de sporer brukernes fysiske aktiviteter.

Rapporten vår viste at appen utsetter personlig informasjon, inkludert steder.

I henhold til Digitsoles personvernregler innhenter appen lite brukerinformasjon, og ingen av dem blir solgt eller videresendt til tredjepart. Den slår også fast at det er en måte å slette all og all brukerinnsamlet data.

men, vi la merke til at appen får tilgang til din plassering og telefonlagring. Vi la også merke til at appen samler inn data om Facebook-profilen og vennene dine, antall trinn du tar per dag, hvor mange kalorier du forbrenner, hastigheten, kjønn, vekt og høyde.

I tillegg, appen fortsetter å få tilgang til telefonens beliggenhet så lenge plasseringen din er slått på og enheten kjører i bakgrunnen, selv om du slår sporingsfunksjonen av.

Ved å koble til Bluetooth, som ikke har noen godkjenning, hackere kan enkelt endre temperaturen på innleggssålene, noen ganger hever du varmen til 45 ° C. De er også i stand til å samle inn informasjonen brukeren gjorde og ikke ga.

Data gitt direkte av brukeren når han registrerte seg på Digitsole: Data som ikke er gitt direkte av brukeren:
  • Alder
  • Plassering med en tidsstempel
  • Høyde
  • Facebook-profil og venner
  • Vekt
  • Kalorier brant
  • Kjønn
  • Hastighet
  • Skritt tatt

Registreringsdata sendes til Digitsoles servere. Sanntidsdata sendes imidlertid til serverne med et fast intervall med få sekunder. All data sendes over en kryptert tilkoblet ved hjelp av HTTPS.

Sikkerhets- og personvernfeil oppdaget på populære bærbare enheter

Digitsople-appen samler inn Facebook-data

Modius Pannebånd

Sikkerhets- og personvernfeil oppdaget på populære bærbare enheter

Denne bærbare vekttapenheten ble funnet å ha sårbarheter angående brukernes informasjon.

Modius hodebånd er designet for å endre brukerens kroppsvekt og appetitt ved å sende elektriske signaler til hjernen.

Vi testet versjon 1.6.0 av Modius 'Android-app og fant ut at den samler både lokasjon og tilgang til fingeravtrykk.

Det er absolutt avansert teknologi; siden den kobles til Bluetooth (som ikke er autentisert) hackere kunne få detaljer om brukerens kropp, inkludert midjelengde, kroppsfettprosent og til og med fingeravtrykk.

Penetrasjonshacker kunne også finne ut hvor hver bruker var, og når de var fysisk nær nok i stand til å kontrollere enheten. Dette betyr at de kunne starte eller stoppe en hodebåndskanning og endre den elektriske strømmen til det høyeste nivået, noe som forårsaker kvalme og generell sykdom.

Selv om dette er farlig, fant vi ingen eksponering for privat brukerinformasjon.

Imidlertid kunne vi spore følgende:

  • plassering
  • Fingeravtrykk
  • Facebook-sporing
  • Vekt
  • Høyde
  • Midje lengde
  • Kroppsfettprosent
  • Brukshistorikk for Modius-enheter
  • Personopplysninger, fødselsdato, navn og e-postadresse.

Sikkerhets- og personvernfeil oppdaget på populære bærbare enheter

Modius 'app integreres både med Facebook og krever stedsadgang. 

All personlig informasjon blir sendt til Modius 'servere etter registrering, mens alle gjenværende data blir sendt hver gang applikasjonen brukes med jevne mellomrom. Vi så også at all data blir sendt over en kryptert kanal ved hjelp av HTTPS.

Ivy Health Kid's Thermometer

Sikkerhets- og personvernfeil oppdaget på populære bærbare enheter

Dette smarte og bærbare armtermometeret er beregnet på babyer og små barn og kobles via Bluetooth til en app for mobil enhet som styrer det. Denne nyttige enheten lar deg gjøre det overvåke babyens temperatur til enhver tid og rapporterer om funn til telefonen din via Bluetooth.

Selv om fysisk skade ikke kan gjøres, fant vi ut at den utsetter personlig informasjon.

Av de tre testede bærbarhetene, mengden informasjon samlet inn av Ivy Health Kids var den høyeste.

Vi testet versjon 1.0, som krever mange tillatelser, inkludert å lese og skrive tilgang til ekstern lagring, kamera, plassering og mer.

Sikkerhets- og personvernfeil oppdaget på populære bærbare enheter

IvyHealth sin liste over tillatelser

Hackere fikk tilgang til barnas navn, fødselsdato, kjønn og mer fra de som brukte enheten for å overvåke temperaturen. Angriperne fant også informasjon om forholdet til hvert barns familie. Denne informasjonen kan potensielt avsløre en hel families struktur, forhold og, selvfølgelig, deres temperaturer. og deres temperaturmålehistorie.

Det kanskje mest bekymrende er det faktum at appens API og portal blir servert via usikker HTTP. Dette sikkerhetsproblemet etterlater brukerens brukernavn og passord.

Med disse sårbarhetene er det ikke rart at sikkerheten til bærbar forblir tvilsom, og til og med enkle enheter kan bli kompromittert. Tyskland forbød smartklokker for barn i fjor, og Kina forbød bruk av smartur i hæren for noen år siden.

Men den økte risikoen rundt wearables stopper ikke økningen. Det samlede bærbare markedet forventes å vokse fra 113,2 millioner forsendelser i 2017 til 222,3 millioner i 2021 med en sammensatt årlig vekstrate (CAGR) på 18,4%, ifølge International Data Corporation (IDC) Worldwide Quarterly Wearable Device Tracker.

Er nå tiden for å tenke nytt om tilnærmingen vår til sikkerhet og personvern når det gjelder bærbarhet?

Klikk her for å se hele rapporten som inneholder flere detaljer knyttet til personvern og sikkerhetsrangeringer på hver enhet.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me