您的健身追踪器是否会使您的安全受到威胁?

考虑我们的数据将从何处泄漏是一项艰巨的任务。我们会在所有设备上采取必要的预防措施,安装防病毒软件,运行恶意软件扫描,并希望对电子邮件进行两次和三次检查以查找任何可疑内容。这些只是等待我们的潜在攻击媒介中的一小部分。

安全研究人员透露,除了我们的“常规"设备外,最新的技术形式之一可能就是为攻击者提供意想不到但容易实现的攻击,可以窃取我们个人数据的角度。健身追踪器最近受到安全关注,此前一份技术报告强调了其设计中的一系列严重安全缺陷,从理论上讲,潜在的攻击者可以拦截您的个人数据。

致命健身缺陷

在过去的几年中,健身追踪器的受欢迎程度空前提高。仅2015年第4季度,销量就从710万台增长至2100万台,同比增长197%。市场分析师 Parks Associates 估计,全球健身追踪器市场将继续增长,从2014年的20亿美元增长到2019年的54亿美元。这是可观的收益,表明以前可能会暴露于此状态的用户数量未知的攻击媒介。

加拿大非营利研究组织开放效应和跨学科研究实验室 Citizen Lab 检查了当前可用的八种最受欢迎​​的健身可穿戴设备:Apple Watch,Basis Peak,Fitbit Charge HR,Garmin Vivosmart,Jawbone UP 2,Mio Fuse,Withings Pulse O2 ,以及小米Mi Band。

合并后的研究报告试图发现技术公司为保护和维护您的数据安全所采取的步骤。虽然我们了解并了解健身追踪器将收集心跳,脚步,卡路里和睡眠数据,但研究人员只是探索了数据在设备开发人员手中时会发生什么情况。

发送哪些数据到远程服务器?科技公司如何保护数据?与谁共享?公司实际上如何利用这些信息?

主要发现包括:

  • 八分之二的健身跟踪设备会发出持久的唯一标识符(蓝牙媒体访问控制地址),该标识符可以暴露当设备未配对并连接到移动设备时,他们的佩戴者可以长期跟踪其位置。
  • Jawbone和Withings应用程序可以用来创建假健身带记录。这种虚假记录使人们怀疑健身追踪器数据在法庭案件和保险计划中使用的可靠性。
  • Garmin Connect应用程序(iPhone和Android)和Withings Health Mate(Android)应用程序具有安全漏洞,这些漏洞使
  • Garmin Connect并未为其iOS或Android应用程序采用基本的数据传输安全实践,因此,健康信息容易受到监视或篡改。

    • 可穿戴技术会发出持久的蓝牙信号。无论是智能手表还是健身追踪器,此信号都可用于与智能手机保持一致的通信。他们与外部设备的通信使用MAC(媒体访问控制)地址维护,该地址唯一地标识健身跟踪器。

    在健身跟踪器的上下文中,个人数据安全维护要求将这些地址随机分配以确保用户无法跟踪并不能通过MAC地址标识。蓝牙信标在商场中越来越频繁地用于创建有针对性的移动广告,它可以使用单个MAC地址来跟踪和分析这些设备(任何人都可以使用合适的紧凑型计算机来构建它们)。实际上,在经过测试的设备中,只有Apple Watch会“大约每10分钟间隔一次"随机分配其MAC地址,以保护其用户身份。

    在记录了永久MAC地址后,可以从中轻松跟踪用户的位置信标到信标。如果购物中心决定在整个购物拜访期间收集用户位置信息,则可以将数据出售给营销机构或其他数据经纪人,而无需先通知用户。如果单个数据经纪人可以购买多个配置文件,则可以整理信息以构建复杂的目标广告配置文件,每次用户(及其唯一的设备标识符)进入建筑物时都会激活该信息。

    每个健身追踪器都附带了它自己的监控应用程序,可以捕获大量与健身相关的数据,并将其转换为对用户操作的直观描述。但是,发现应用程序本身会在多个传输位置泄漏个人信息。

    例如,人们希望至少使用HTTPS对任何个人数据传输进行加密;

    类似地,尽管Bellabeat Leaf和Withings Health Mate使用HTTPS与远程服务器通信,但两家公司都向用户发送了纯文本电子邮件确认其注册凭据,从而使用户容易受到中间人攻击。任何具有Bellabeat或Withings API工作知识的攻击者都可以在几分钟内访问各种个人健身信息。这种攻击形式也可以用于将恶意或虚假数据推送到可穿戴设备或用户的手机上。

    观察到的三个健身追踪器应用程序“很容易受到有动机的用户创建虚假生成的健身数据的攻击。自己的帐户",欺骗公司服务器接受伪造数据。 Open Effect Citizen Lab 创建了一些旨在欺骗健身跟踪器服务器接受虚假信息的应用程序,其中Bellabeat LEAF,Jawbone UP和Withings Health Mate很快出现。

    “我们向Jawbone发送了一个请求,表明我们的测试用户一天内走了100亿步"。人为分配步骤。研究人员得出结论,一种更复杂的方法将“随机分配步骤以建立更逼真的分布",以进一步进行逃生检测。

    健身追踪器可以保持连续的个人数据收集流。常见的数据收集向量包括脚步,心跳,睡眠方式,海拔,地理位置,活动质量和活动类型。

    某些健身追踪器鼓励其用户进行其他健身或社交活动,例如作为指定热量进行计算和分析的食物,一天中特定时间的个人情绪(还与活动和食物消耗有关),以记录其健身目标。

    开放效应引起的问题 Citizen Lab 说明了在各种情况下依靠健身追踪器提供可靠的个人数据的危险。健身追踪器数据已用于保护保险单或代表因医疗问题取得的进展,但我们看到该数据很容易被伪造。

    此外,这些数据问题确实使这些健身追踪器具有了本质吗?技术公司有疑问吗?这些对数据保护的不良尝试如何转化为其他产品?这个问题并不仅限于健身追踪器,公民和监管者都应该做更多的工作,以确保始终保护用户数据,以免我们发现整个行业似乎都因缺乏对私人数据的谨慎和谨慎而受到损害。 p>

    报告的结论很明显:基于开放效应 Citizen Lab 的建议提高了安全性。人身和私人安全非常重要,我们应该在问题出现时加以解决。但是,不仅需要增强的安全性。 Fitness健身追踪器的用户需要了解其数据发送到的位置,存储的位置以及哪些其他方可以访问它。

    技术公司有责任与他们的用户进行全方位的沟通他们也默认了技术监视,无论他们是否意识到,以及它的潜在风险。

    现在是时候把健身追踪器扔掉了吗?可能不是,尤其是如果您有Apple Watch的话。尽管健身追踪器制造商对技术报告的结论有不同的反应,但这些漏洞不太可能长期存在。

    或者,我们至少可以希望它们不会长期存在。

    p>

    您是否担心健身追踪器?您是否通过可穿戴技术丢失了数据?发生了什么?让我们在下面知道!

    标签: 健身 在线安全 可穿戴技术