I dispositivi wearable intelligenti, compresi gli smartwatch e i fitness tracker, sono utilizzati di solito nel corso delle attività sportive, per monitorare la salute, ricevere notifiche push e altro ancora. Per svolgere le loro funzioni principali, la maggior parte di questi dispositivi è dotata di sensori di accelerazione incorporati (gli accelerometri), che sono spesso combinati con sensori di rotazione (i giroscopi) per il conteggio dei passi e per conoscere la posizione corrente del loro utilizzatore.
Gli esperti di Kaspersky Lab hanno deciso di esaminare quali informazioni di un utente potrebbero essere fornite a terzi non autorizzati da questi sensori e hanno analizzato da vicino diversi smartwatch di una serie di produttori.
Per esaminare tutta la questione, è stata sviluppata un’applicazione per smartwatch abbastanza semplice che registrava segnali da accelerometri e giroscopi integrati. I dati registrati sono stati quindi archiviati nella memoria del dispositivo wearable o caricati sullo smartphone abbinato allo stesso tramite Bluetooth. Utilizzando gli algoritmi matematici disponibili per la potenza di calcolo del wearable intelligente, è stato possibile identificare alcuni modelli comportamentali, capire il momento e il luogo nel quale un utente si stava muovendo e anche per quanto tempo ha condotto una certa azione. Cosa ancora più importante, è stato possibile identificare alcune attività sensibili degli utenti, compreso l’inserimento di una passphrase sul computer (con una precisione fino al 96%), l’uso di un codice PIN presso i bancomat (circa all’87%) e lo sblocco del proprio smartphone (circa al 64%).
Lo stesso set di dati del segnale è un modello comportamentale unico per il proprietario del dispositivo. Utilizzando questo, una terza parte potrebbe andare oltre e cercare di riconoscere l’identità dell’utente – sia tramite un indirizzo email richiesto in fase di registrazione da una app, sia tramite l’accesso alle credenziali dell’account su Android.
Dopo questo, l’identificazione di informazioni dettagliate su una potenziale vittima – compresa la sua routine quotidiana o i momenti nei quali vengono inseriti dati importanti – è solo una questione di tempo. Considerando il prezzo in crescita per i dati privati degli utenti, potremmo trovarci velocemente in un mondo in cui le terze parti scelgono di monetizzare questa forma di accesso alle informazioni sensibili.
Smartphone e wearable in mano ai criminali informatici, cosa fare per evitare pericoli?
Se la sopracitata tipologia di utilizzo non venisse capitalizzata, ma fosse a disposizione di criminali informatici per scopi malevoli, le possibili conseguenze per la sicurezza potrebbero essere limitate solo dalla loro immaginazione e dal loro livello di conoscenza tecnica. Per esempio, potrebbero riuscire a decrittare i segnali ricevuti utilizzando reti neurali, attaccare le vittime o installare degli skimmer sugli sportelli bancomat che usano di solito. Abbiamo già avuto modo di vedere più sopra come i criminali possano raggiungere un’accuratezza dell’80% quando tentano di decrittare i segnali di un accelerometro o di identificare una password o un PIN utilizzando solo i dati raccolti dai sensori degli smartwatch.
Di conseguenza, i ricercatori di Kaspersky Lab consigliano agli utenti di prestare attenzione a quanto segue quando indossano dispositivi smart:
- Se l’applicazione invia una richiesta per il recupero delle informazioni sull’account dell’utente, questo potrebbe essere un motivo di preoccupazione, perché i cybercriminali potrebbero facilmente ricostruire una sorta di “impronta digitale” del proprietario del dispositivo.
- Anche la richiesta di permesso per l’invio di dati di geolocalizzazione da parte dell’applicazione dovrebbe essere un motivo di preoccupazione. Non fornire alle applicazioni di fitness tracking che si scaricano sul proprio smartwatch permessi extra o settare il proprio indirizzo email aziendale come login.
- Un consumo veloce della batteria di un dispositivo può essere un ulteriore campanello di allarme. Se il gadget si scarica in poche ore invece che durare un intero giorno, bisognerebbe controllare cosa sta davvero facendo. Potrebbe essere impegnato nella scrittura di log di segnale o, ancora peggio, inviarli da qualche parte.
“I wearable intelligenti non sono solo gadget in miniatura, sono sistemi cyber-fisici in grado di registrare, memorizzare ed elaborare parametri fisici. La nostra ricerca mostra come anche algoritmi molto semplici, eseguiti sullo smartwatch stesso, possano essere in grado di catturare il profilo unico di un utente dai segnali dell’accelerometro o del giroscopio. Questi profili possono quindi essere utilizzati per portare un utente fuori dall’anonimato e tenere traccia delle sue attività, compresi i momenti nei quali vengono inserite informazioni sensibili. Un processo che può essere condotto utilizzando app per smartwatch legittime che inviano segretamente dati a terze parti” ha commentato Morten Lehn, General Manager Italy di Kaspersky Lab.
Who's Who
Morten Lehn
