30 мая 2018 г.

«Лаборатория Касперского» выяснила, что умные часы могут рассказать о своём владельце

Эксперты «Лаборатории Касперского» выяснили, какие возможности открывает анализ сигнала носимых устройств для потенциальных злоумышленников.

«Лаборатория Касперского» выяснила, что умные часы могут рассказать о своём владельце

Эксперты «Лаборатории Касперского» выяснили, какие возможности открывает анализ сигнала носимых устройств для потенциальных злоумышленников. Например, получив доступ к умным часам, киберпреступники могут собрать беззвучные сигналы встроенных в них сенсоров, изучить их и впоследствии получить набор уникальных данных о владельце. Они позволяют сформировать поведенческий профиль человека и зафиксировать моменты ввода критически важных данных: определить, когда он приходит на работу, вводит пароль доступа от корпоративного компьютера, разблокирует телефон. Сопоставив данные о перемещении пользователя с координатами, можно также определить моменты посещения банка и ввода ПИН-кода на клавиатуре банкомата.

В повседневной жизни многие регулярно пользуются умными часами и фитнес-трекерами. В большинство этих гаджетов встроены датчики ускорения (акселерометры), вращения (гироскопы) и даже магнитного поля (магнитометры). Записывая сигналы с этих сенсоров, злоумышленники могут получить доступ к личной информации пользователя. Вот почему важно уделять внимание, казалось бы, менее очевидным потенциальным источникам киберугроз – IoT-устройствам.

«Умные носимые устройства – не просто миниатюрные гаджеты, это сложные системы, которые могут записывать, хранить и обрабатывать физические параметры пользователя. Наше исследование показало, что даже самые простые алгоритмы, запускаемые на умных часах, позволяют сформировать уникальный поведенческий профиль человека за счёт сигналов акселерометра и гироскопа. Полученные данные могут использоваться для деанонимизации владельца гаджета и отслеживания его действий, включая ввод конфиденциальных сведений», – подчеркнул Сергей Лурье, руководитель направления энтерпрайз-коммуникаций в социальных медиа «Лаборатории Касперского».

Вероятный сценарий использования носимых устройств злоумышленниками связан с загрузкой на умные часы приложения (например, фитнес-трекера), которое может отправлять на серверы киберпреступников пакеты данных. Для более точного профилирования жертвы достаточно всего один раз отправить геопозицию владельца IoT-устройства или запросить разрешение на получение адреса его электронной почты, после чего уникальные сведения о поведении пользователя и его конфиденциальная информация потенциально становится лёгкой добычей. При этом стоит отметить, что приложения, допускающие передачу данных акселерометров и гироскопов третьим лицам, на данный момент считаются легитимными с точки зрения магазинов приложений.

«Лаборатория Касперского» рекомендует владельцам смарт-часов обращать внимание на следующие признаки того, что их данные могут находиться под угрозой, и соблюдать определенные правила безопасности:

  • если приложение отправляет запрос на получение данных об аккаунте пользователя (разрешение GET_ACCOUNTS в Android), это может означать, что злоумышленник пытается сопоставить «цифровой отпечаток» с его владельцем;
  • если приложение дополнительно запрашивает разрешение на отправку геолокационных данных – это повод насторожиться, не стоит выдавать фитнес-трекерам, загружаемым на умные часы, лишних разрешений, а также не рекомендуется указывать корпоративные электронные адреса при регистрации;
  • если исправное носимое устройство держит заряд вместо суток всего несколько часов, не исключено, что сигналы встроенных в него сенсоров передаются на серверы киберпреступников.

Более подробная информация о киберугрозах, связанных с использованием умных часов, доступна по ссылке: https://securelist.ru/trojan-watch/89714/.