Недавнее исследование получило отличные заголовки, но его результаты не так уж и страшны.
Черт возьми, ваш Fitbit выдает все ваши данные о фитнесе? Это то, во что вы бы поверили новое исследование исследователей кибербезопасности из Университета Торонто. В отчете было протестировано восемь популярных носимых устройств, чтобы узнать, насколько они безопасны (или нет). Вот список включенных устройств:
- Fitbit Charge HR
- Apple Watch
- Базис Пик
- Garmin Vivosmart
- Челюсть вверх 2
- Withings Pulse O2
- Xiaomi Mi Band
- Mio Fuse
Его выводы были немного сложнее, чем предполагают заголовки («Недостатки безопасности носимых устройств, выявленные в ходе исследования»). Итак, что обнаружили исследователи? Немного, но конкретную информацию можно разбить на три основные категории.
№1. Отслеживание Bluetooth
Стоит ли волноваться? Нет.
В исследовании утверждается, что, поскольку эти устройства соединяются с вашим телефоном через Bluetooth, вы можете отслеживать свое местоположение. Это отчасти правда, но вовсе не так тревожно, как кажется. Радиомодули Bluetooth вещают на очень короткое расстояние - около 30 футов в идеальных условиях - поэтому, если кто-то хочет отслеживать вас, он должен быть очень близко к вам. Кроме того, никакие ваши личные данные не раскрываются - только имя вашего устройства Bluetooth (например, FitbitCharge74354B).
Так в чем же дело? Теоретически магазины могут использовать эту информацию, чтобы отслеживать, когда человек возвращается несколько раз. Он не узнает, кто вы такие, или что-нибудь о вас, просто тот, кто был там раньше, снова здесь. Может быть, очень сложная программа могла бы сопоставить эти данные с тем, кто совершал покупки в тот же день, и затем, ага! Они знают, кому принадлежит этот Fitbit! Но в конце концов, зачем компании идти на такие проблемы? Они уже знают, кто вы, когда вы используете свою кредитную карту. По сути, я очень сильно зеваю на это беспокойство с точки зрения того, насколько вы должны волноваться на самом деле.
Как бы то ни было, Apple Watch получили лучшие оценки, чем другие, потому что они используют случайный идентификатор Bluetooth вместо статического. Вам должно быть все равно? Возможно нет.
№2. Имитация тренировок
Стоит ли волноваться? Не совсем.
Некоторые из трекеров (или, скорее, их программные комплексы) позволяют вам вмешиваться в ваши результаты. Речь идет конкретно о Garmin Vivosmart, Jawbone Up 2 и Withings Pulse O2. Вы могли бы весь день сидеть на диване, есть пирог, а потом сказать, что вы пробежали 10 миль, и отобразить это в своем фитнес-профиле. Я даю этому рейтингу фактора страха 0,5 из 10.
Исследователи утверждают, что это могло быть использовано для лжи страховым компаниям, если бы, возможно, кто-то договорился о более низкой ставке полиса, основанной на возможности доказать уровень активности. Что ж, не так много страховых компаний, готовых дать людям перерыв на основе подсчета шагов трекера активности. Тренировки достаточно легко подделать, просто пожав руку в течение пяти минут. Не верите мне? Перейдите к 2:09 в этом видео, которое я снял для Wired в прошлом году.
Единственное, что заставляет меня задуматься, это то, что данные отслеживания активности могут быть использованы в качестве доказательства в судебном деле. Например: «Я не мог быть вовлечен в наезд, ваша честь, потому что в то время я был на лестничной клетке, понимаете?» Я думаю, это немного пугает, но это можно легко исправить, показывая, что тренировочная активность была добавлена вручную, а не через загрузку непосредственно из трекера. Так что сделайте это обновление, производители фитнес-трекеров.
На практике я считаю это удобной функцией. Я пошел на длительные прогулки, походы или пробежки, и у моего трекера активности разрядились батарейки, или я забыл его включить утром. Возможность приблизительно указать то, что я сделал, помогает мне отслеживать, сколько калорий я сожгла. Это особенно здорово, если вы плаваете, а ваш трекер не является водонепроницаемым.
№3. Небезопасная передача данных
Стоит ли волноваться? Может немного.
Ладно, значит, этот нехороший. Здесь исследователи изучали, как приложение для смартфона трекера отправляет данные на серверы в Интернете. Большинство трекеров получили высокие оценки, за исключением двух. Вот что говорится в отчете:
«Большим исключением являются приложения Garmin Connect для Android и iOS, которые не шифруют передачу фитнес-данных через Интернет. Garmin Connect использует протокол HTTPS только для создания учетных записей и входа в систему. Withings Health Mate использует HTTPS для большинства функций, за исключением случаев, когда пользователь пытается поделиться своей фитнес-панелью с контактом. В результате важная информация о сеансе входа пользователя на серверы Withings передается небезопасно ».
Withings немедленно отреагировал, изъяв эту функцию из приложения, и работает над исправлением дыры в безопасности, после чего вернет эту функцию. Немного больше проблем с Garmin. Он передает ваше имя пользователя и некоторые данные о тренировке через Интернет небезопасно, а это означает, что если кто-то его искал, он мог бы схватить его, особенно если вы были подключены через общую сеть Wi-Fi.
В исследовании не указано, какие конкретно данные включены, но если там есть данные GPS, то это серьезная проблема. Как человека, который часто начинает и заканчивает тренировки прямо у порога, меня беспокоит, что кто-то может узнать, где я живу или даже где и когда я, вероятно, буду бегать. Компания Garmin еще не ответила на результаты исследования, но мы надеемся, что компания пытается исправить эту уязвимость как можно скорее.
В целом эти результаты не вызывают особого беспокойства, но хорошо знать, какими гаджетами мы пользуемся без нашего ведома.