מעבדת קספרסקי: שעונים חכמים יכולים להפוך לכלי ריגול כנגד בעליהם

קספרסקי

מחקר חדש מראה כי שעונים חכמים יכולים להפוך לכלי ריגול כנגד בעליהם. איסוף שקט של נתונים ממד התאוצה והג'יירוסקופ וניתוח שלהם, יכולים לשמש כדי לזהות פעילות ייחודית של בעלי שעון החכם. מערך הנתונים הזה, אם נעשה בו שימוש לרעה, מאפשר לנטר פעילות של משתמש, כולל זיהוי כאשר הוא מזין מידע רגיש לכספומט או בטלפון הנייד. אלו הם ממצאים חדשים מניתוח שביצעה מעבדת קספרסקי לגבי השפעות אפשריות של התרחבות השימוש ב-IoT על חיי המשתמשים ואבטחת המידע שלהם.

בשנים האחרונות, נתונים פרטיים של משתמשים הפכו למוצר בעל ערך כתוצאה מאפשרויות השימוש בהם על ידי עברייני סייבר – החל מבניית פרופיל קורבן דיגיטלי ועד ליצירת תחזיות שוק על התנהגות משתמשים. בעוד הפחד של משתמשים לגבי שימוש בלתי ראוי במידע האישי שלהם הולך וגובר, בעיקר לגבי איסוף נתונים המתרחש בפלטפורמות דיגיטליות, קיימים מקורות אחרים לאיסוף נתונים, מובהקים פחות ולכן גם מוגנים פחות. לדוגמא, כדי לשמור על אורח חיים בריא, רבים מאיתנו משתמשים בצמידי כושר או שעונים חכמים כדי לנטר פעילות גופנית. אבל כפי שמראה המחקר של מעבדת קספרסקי, הדבר גם יכול להביא גם לתוצאות מסוכנות.

מכשירים לבישים חכמים, כולל שעונים חכמים וצמידי כושר, נמצאים בשימוש נרחב במסגרת פעילות גופנית, לשם ניטור מדדים מסוימים, לקבלת הודעות וכו'. כדי לבצע את תפקידיהם המרכזיים, רוב המכשירים האלה מצוידים בחיישני תאוצה (accelerometers), שלעיתים קרובות משולבים בחיישני רוטציה (ג'יירוסקופ), המאפשרים מדידת צעדים ומיקום המשתמש. חוקרי מעבדת קספרסקי החליטו לבדוק אילו נתוני משתמש יכולים החיישנים האלה לספק לגורם חיצוני – ולשם כך הם לקחו לבדיקה שעונים חכמים ממספר ספקים.

כדי לבחון את הבעיה, המומחים פיתחו אפליקציה פשוטה יחסית לשעון חכם, אשר מקליטה אותות המגיעים מחיישני התאוצה והרוטציה. המידע נשמר בזיכרון המכשיר הלביש או שודר דרך בלוטות' לטלפון נייד.

באמצעות אלגוריתם מתמטי שניתן להפעיל עם עוצמת מחשוב של שעון חכם, זיהו החוקרים תבניות פעולה, זמנים ומיקומים בהם המשתמשים היו בתנועה, ואורך הזמן בהם עשו זאת. חשוב מכך, הם הצליחו לזהות פעולות רגישות של משתמש, כולל הזנה של סיסמא למחשב (ברמת דיוק של 96%), הקלדת קוד בכספומט (ברמת דיוק של 87%) ופתיחת הטלפון הנייד (ברמת דיוק של 64%).

מערך הנתונים שמתקבל מניטור שכזה מספק תבנית התנהגות ייחודית של בעל המכשיר. באמצעות שימוש במערך שכזה, גורם חיצוני יכול להתקדם ולנסות לזהות את המשתמש עצמו – בין אם באמצעות שילוב כתובת הדואר האלקטרוני שהוזנה בשלב הרישום לאפליקציה או באמצעות הרשאות גישה לחשבון האנדרואיד במכשיר. לאחר מכן, זה רק עניין של זמן עד שיתקבל מידע מפורט על הקורבן, כולל סדר יום ורגעים בהם הוא מזין מידע רגיש. בהינתן השווי הגובר של נתוני משתמשים פרטיים, אנו יכולים למצוא את עצמנו במהירות בעולם בו גופים מנסים לנטר סוג זה של מידע.

אבל גם אם המידע לא יימכר ישירות בתמורה לכסף, עבור עברייני הסייבר השימוש בנתונים הללו מוגבל רק על ידי הדמיון והיכולות הטכנולוגיות שלהם. לדוגמא, הם יכולים לפצח את האותות המתקבלים באמצעות רשתות נוירונים, ולארוב לקורבנות או להתקין "סקימרים" (מכשירים לאיסוף קוד כספומט) במכשיר הכספומט המועדף על הקורבן. כבר ראינו כיצד עבריינים יכולים להשיג 80% אחוזי דיוק בפיענוח אותות ממד התאוצה ובזיהוי סיסמא.

"שעונים חכמים אינם רק גאדג'טים קטנים, הם מערכות סייבר-פיסיות אשר יכולות לתעד, לאחסן ולעבד נתונים פיסיים. המחקר שלנו מראה כי אפילו אלגוריתמים פשוטים מאוד, הרצים על השעון החכם עצמו, מסוגלים לבנות פרופיל ייחודי של המשתמש מתוך אותות מד התאוצה והג'יירוסקופ. פרופילים אלה יכולים לשמש כדי לחשוף את המשתמש ולבצע מעקב אחר הפעילות שלו, כולל הזמנים בהם הוא מזין מידע רגיש. הדברים יכולים להיעשות באמצעות אפליקציות לגיטימיות לשעון החכם, אשר שולחות נתונים באופן חסוי לגורם חיצוני", אמר סרגיי לוריה, מחבר משותף של המחקר במעבדת קספרסקי.

חוקרי מעבדת קספרסקי מייעצים למשתמשים להסב תשומת לב לנקודות הבאות כאשר הם משתמשים במכשירים חכמים:

אם אפליקציה שולחת בקשה לאחזר את פרטי חשבון המשתמש, זו סיבה לדאגה – מכיוון שעבריינים יוכלו לבנות באמצעותם בקלות "תביעת אצבע דיגיטלית" של המשתמש

אם אפליקציה מבקשת הרשאה לשלוח נתוני מיקום גיאוגרפי, גם זו סיבה לחשש. אל תעניקו לאפליקציות ניטור בריאות שאתם מורידים למכשיר הנייד הרשאות מיותרות, ואל תזינו דואר אלקטרוני ארגוני לצורך כניסה אליהן.

צריכת סוללה מהירה במכשיר יכולה לשמש כהתרעה. אם סוללת הגאדג'ט שלכם מתרוקנת תוך כמה שעות במקום יום שלם, מומלץ שתבדקו מה הסיבה לכך. יכול להיות שהמכשיר מתעד אותות, או גרוע יותר, שולח אותם למקום אחר.