Как умные часы могут превратить жизнь владельца в кошмар

В наши дни практически каждый производитель электроники представил хотя бы одни умные часы. Эти гаджеты умеют многое: следить за вашим сердцебиением, оценивать качество сна и даже, как это ни удивительно, показывать точное время. А еще, оказывается, их можно использовать, чтобы подглядеть ваш пароль.

Вопросы касательно безопасности носимых устройств, таких как фитнес-трекеры и умные часы, появились практически одновременно с самими устройствами. Эти гаджеты постоянно собирают данные о владельцах и отправляют их в облако — если что-то пойдет не так, конфиденциальная информация о пользователях умных устройств легко может попасть не в те руки, ее могут продать кому угодно, лишь бы он предложил побольше денег.

Производители фитнес-трекеров прилагают массу усилий, чтобы доказать, что вопросы конфиденциальности для них находятся на первом месте. При этом они активно продают умные браслеты крупным корпорациям, которые используют их для мониторинга здоровья сотрудников. Ну или не только для этого. Но, как показали последние исследования, эти случаи нарушения приватности пользователей — всего лишь цветочки.

Наш фитнес — их бизнес. Что, куда и кому отправляют современные фитнес-трекеры: http://t.co/EkcS7lmqiv

— Kaspersky Lab (@Kaspersky_ru) October 31, 2014

Когда Роман Унучек из «Лаборатории Касперского» обнаружил, что можно подключиться практически к любому фитнес-устройству, которое уже связано с другим смартфоном, он написал об этом статью, которую тем не менее закончил на позитивной ноте:

«Взломав мой браслет, злоумышленник не получит доступа ко всем данным пользователя, так как они не хранятся ни на самом трекере, ни в телефоне. Официальное приложение регулярно отправляет собранную информацию в облако».

Коллега рассказал, как взломал свой фитнес-браслет и несанкционированно подключился к еще полусотне чужих: http://t.co/m1egp8cfVF

— Kaspersky Lab (@Kaspersky_ru) March 26, 2015

Позднее Тони Белтрамелли (Tony Beltramelli), магистр факультета информационных технологий в университете Копенгагена, показал, что в некоторых случаях киберпреступники при помощи ваших умных часов могут причинить вам немало проблем, даже не располагая этой информацией. В своей дипломной работе Тони демонстрирует, как злоумышленник может использовать умный браслет, чтобы запомнить жесты владельца, а в дальнейшем с помощью анализа воссоздать, что он вводил на цифровой клавиатуре.

Исследование во многом полагается на тот факт, что все печатают по-разному — у каждого есть свой уникальный стиль. Когда-то это наблюдение хотели использовать, чтобы сделать системы авторизации более безопасными. Систему можно научить распознавать стиль ввода текста, и тогда для входа в нее требовалось бы не просто вводить пароль, но и делать это особым образом — так же, как это делает владелец устройства.

В своих экспериментах Тони Белтрамелли использовал умные часы Sony Smartwatch 3, работающие на системе Android Wear. Он «познакомил» программное обеспечение устройства со своим стилем ввода, и в результате часы при помощи встроенных датчиков движения могли определять его жесты и расшифровывать их, переводя в цифры, которые Тони вводил на цифровой клавиатуре. Причем более чем с 60-процентной точностью.

«Допустим, кто-то может отследить, какие цифры мы вводим на клавиатуре, — скажете вы. — И что с того?»

На самом деле… может произойти много всего нехорошего.

Например, эта клавиатура могла находиться на панели банкомата. Так, с помощью ваших смарт-часов злоумышленник может узнать PIN-код от вашей же кредитки. Если теперь он каким-то образом получит и саму кредитку, с деньгами можно будет попрощаться — PIN-код их уже не защитит.

А может быть, клавиатура располагалась на экране блокировки вашего смартфона — и теперь преступник знает ваш пароль. Тут он также может натворить дел: покопаться в вашем списке контактов, почитать личную переписку, скопировать данные мобильного банкинга и многое другое.

Google исправила уязвимость, благодаря которой можно было получить доступ к смартфону жертвы, даже не зная пароль: https://t.co/4IgQULUjS6

— Kaspersky Lab (@Kaspersky_ru) September 18, 2015

Программное обеспечение, написанное Белтрамелли, позволяет распознавать только цифры. Но этот алгоритм, возможно, может быть улучшен — его можно научить распознавать, какие клавиши вы нажимаете на обычной компьютерной клавиатуре. Тогда преступники получат доступ буквально ко всему, что вы пишете за компьютером, — вся переписка и все пароли будут скомпрометированы. Да, умные часы у вас только на одной руке, так что отследить можно будет только половину набираемых символов, но во многих случаях и этого будет достаточно, чтобы воссоздать весь текст.

Пока что у нас нет доказательств тому, что такой клавиатурный шпион уже гуляет по просторам Интернета, но, поверьте, вам не захочется стать его первой жертвой. От подобных угроз есть только один метод защиты: нужно убедиться, что никакое вредоносное ПО не добралось до операционной системы ваших умных часов.

Мы и WISeKey объединяем усилия, чтобы сделать Интернет вещей безопаснее: https://t.co/zjEdJq3Rqo pic.twitter.com/4wfU8Jr1ly

— Kaspersky Lab (@Kaspersky_ru) January 15, 2016

И для этого вы можете сделать две вещи.

1. Скачивать приложения только из официальных магазинов, таких как Apple App Store, Google Play или Amazon Appstore. Хотя эта мера не обеспечит вам 100-процентной защиты, представители магазинов все же проверяют новые приложения и применяют определенную систему фильтрации, так что теоретически абы какое приложение в официальный магазин не попадает.

Еще раз пор беспрецедентный случай массового заражения приложений в Apple App Store: https://t.co/b77iZrDxP5 pic.twitter.com/kFeyBzzt1N

— Kaspersky Lab (@Kaspersky_ru) September 23, 2015

2. Установить на свой смартфон надежное защитное решение. Поскольку все приложения для смарт-часов попадают вначале к вам в телефон и лишь потом — в сам носимый гаджет, хороший антивирус защитит сразу оба устройства. К примеру, Kaspersky Internet Security for Android Premium автоматически проверяет каждое скачанное приложение.