Video: Tiedä Omakantasi! (Lokakuu 2024)
Kun osut 10 000 askelta tai saavutat jonkin muun kuntoasetuksen tavoitteen, haluatko jakaa saavutuksesi ystävien kanssa, eikö niin? Käytetystä laitteesta riippuen saatat jakaa myös yksityisiä tietojasi maailman tai kaikkien lähellä olevien kanssa. AV-Test-instituutin tutkijat analysoivat yhdeksän suositun kuntoseurannan turvallisuutta, ja jotkut heidän havainnoistaan eivät olleet kauniita.
Lyhyesti sanottuna, Fitbit Charge ja Acer Liquid Leap eivät suojaa Bluetooth-yhteyttään ollenkaan. Tämä tarkoittaa, että tietosi voidaan pyyhkäistä. Jawbone Up24 ja Sony Smartband Talk SWR30 tekivät parhaan työn käyttäjän tietojen suojaamiseksi.
Tietysti testattiin vain yksi tuote jokaisessa yrityksen tuotelinjassa, mutta varovaisuus edellyttää, että havainnot pätevät kaikkialle. Se, että sinulla on Fitbit Surge eikä Fitbit Charge, ei tarkoita, että olet turvassa.
Ketä kiinnostaa?
Mutta odota, saatat sanoa, minua ei kiinnosta kuka näkee tietoni; Olen ylpeä kuntossani! Raportissa todetaan melkoisesti syistä, että tämä asenne voi olla naiivi. Esimerkiksi jotkut sairausvakuuttajat tarjoavat alhaisempia hintoja asiakkaille, jotka todistavat kelvollisuutensa seurannalla. Häikäilemätön käyttäjä voi kaapata sopivamman naapurin tiedot saadakseen alhaisemman hinnan, tai varastaa tiedot ja pitää sen lunastettavana.
Jos laitteen tietoja ei suojata, sitä voidaan muokata ulkopuolelta. "Ei kulua kauaa, ennen kuin lapset pelaavat keppoja lenkkeilevällä yuppillä nostamalla verenpainetta ja pulssitietoja muutamalla pykälällä", toteaa raportissa, "antaen siten hypochondriakeille vielä enemmän huolta aiheuttavia asioita". Itse asiassa raportissa selvitetään kuinka helposti tutkijat onnistuivat ottamaan haltuunsa tietyn laitteen.
Bluetooth-luvattavuus
Kaikki testatut seurantalaitteet käyttävät Bluetoothia yhteyden muodostamiseen Android-sovellukseen. Oikein toteutettuna Bluetooth-pariliitos voi olla varsin turvallinen. Sony Smartband Talk SWR30, Polar Loop ja Withings Pulse Ox muuttuvat näkymättömiksi muille laitteille, kun ne on muodostettu pariksi puhelimen kanssa. Garmin Vivosmart ja Huawei TalkBand B1 vaativat todennuksen pariliitoksen muodostamiseksi. Jawbone Up24 ja LG Lifeband Touch FB84 menevät pidemmälle, edellyttäen fyysistä pääsyä laitteeseen pariksi.
Jäljelle jäävät kaksi, Acer Liquid Leap ja Fitbit Charge, eivät suojaa BlueTooth-yhteyttä ollenkaan. Erityisesti Fitbit-lataus pariutuu minkä tahansa kantama-alueella olevan Bluetooth-laitteen kanssa, ja selkeää tekstiä ei ole ollenkaan suojattu. Jawbone- ja Huawei-tuotteet eivät ole niin auki, mutta ne muodostavat parin useamman kuin yhden laitteen kanssa. Mitä tulee Acer Liquid Leap -sovellukseen, se näyttää tarvitsevan todennusta PIN-koodilla, mutta koodi johdetaan staattisesti laitteen julkisesta nimestä.
Sovelluksen suojaaminen
Android-ohjelmat eroavat koottuista suoritettavista ohjelmista, jotka toimivat Windows-käyttöjärjestelmässä. Kuka tahansa voi purkaa Android-ohjelman takaisin lähdekoodiinsa helposti saatavilla olevien työkalujen avulla. Hakkeri voi käyttää tätä lähdekoodia selvittääkseen, kuinka kuntosovellus kommunikoi vastaavan jäljittäjän kanssa, ja kirjoittaa väärennetyn sovelluksen kyseisen viestinnän hallitsemiseksi.
Älykkäät Android-ohjelmoijat käyttävät työkaluja ja tekniikoita hävittääksesi ohjelmakoodin, mikä tekee käänteisen suunnittelun vaikeaksi. Ne sulkevat myös lokitoiminnot, jotka ovat hyödyllisiä ohjelman luomisen aikana, mutta jotka antavat sisäisiä sovellustietoja. Ja tietysti he kääntävät lopullisen version virheenkorjauksella pois päältä.
Vain kahdessa testatuista tuotteista, Jawbone Up24 ja Sony Smartband Talk SWR30, käytettiin kaikkia näitä kolmea tekniikkaa. Huawei ja Withings julkaisivat virhekoodin, kun lokitiedot olivat päällä, ja käyttivät vain rajoitettua häiriötä. Acer ja LG Lifeband eivät yrittäneet lopettaa käänteistä suunnittelua.
AV-Testin tutkijat loivat helposti väärennetyn sovelluksen, joka voi imeä tietoja Acer-laitteesta. He onnistuivat jopa muuttamaan laitteen sisäisiä tietueita siten, että "päivän harjoittelu saatiin päätökseen vain muutamassa sekunnissa, hikeä rikkomatta".
Huonoja uutisia, hyviä uutisia
Jos olet juurtunut puhelimeesi, olet huomattavasti alttiimpi kaikenlaiselle hakkeroinnille, mukaan lukien kuntoasema hakkerointi. Hyvä uutinen on, että kaikki testatut laitteet tallentavat tiedot oikein suojattuun muistiin. Huono uutinen on, että jos olet juurtanut puhelimesi, se muisti ei ole enää suojattu.
Lisää hyviä uutisia - kaikki testatut sovellukset suojasivat tietojaan kulkeutuessaan pilveen. He salasivat tiedot ja lähettivät ne HTTPS: n avulla.
- Paras kuntosaluseuvoja vuodelle 2019 Paras kuntoseurantalaite vuodelle 2019
- Jawbone UP24 Jawbone UP24
- Withings Pulse O2 Withings Pulse O2
- Sony SmartBand SWR10 Sony SmartBand SWR10
Voittajat ja häviäjät
Koko raportti sisältää yksityiskohtia siitä, mitä tutkijat ovat oppineet, ja se osoittaa, että käytettävissä oleva tietoturva tällä tuotealueella vaihtelee suuresti. Kätevä kaavio identifioi 11 tärkeätä pistettä kunto seurannan turvallisuudelle. Yläosassa Sony Smartband Talk SWR30 jäi vain yhdestä - et voi poistaa Bluetoothia käytöstä seurannasta. Polar Loop ohitti saman pisteen, eikä myöskään tehnyt kaikkea mahdollista käänteissuunnittelua vastaan, mutta se on silti aika hyvää.
Spektrin toisessa päässä Acer Liquid Leap jäi yhdeksään 11 pisteestä. Se sai luottoa tietojen pitämisestä suojatussa muistissa ja osittaisen luoton sisäisen viestinnän turvaamiseksi; siinä kaikki. Fitbit Charge ohitti kahdeksan turvaelementtiä, mukaan lukien kaikki ne, jotka liittyvät Bluetooth-viestinnän suojaamiseen.
AV-Testin tiimi ilmoitti virallisesti kaikille myyjille havainnoistaan. He suunnittelevat lisätutkimuksia heti, kun myyjillä on ollut aikaa tehostaa turvallisuuspeliään.
