¿Su rastreador de ejercicios pone en riesgo su seguridad?

Considerar de dónde se filtrarán nuestros datos es una tarea difícil. Tomamos las precauciones necesarias en todos nuestros dispositivos, instalando software antivirus, ejecutando escaneos de malware y, con suerte, revisamos y triplicamos los correos electrónicos para detectar cualquier cosa sospechosa. Estos son solo algunos de los posibles vectores de ataque que nos esperan..

Investigadores de seguridad han revelado que aparte de nuestro “regular” Los dispositivos, una de las nuevas formas de tecnología, podrían proporcionar a los atacantes un ángulo inesperado pero de fácil acceso para robar nuestros datos personales. Los rastreadores de ejercicios se han centrado recientemente en el foco de seguridad después de que un informe técnico destacó una serie de fallas de seguridad graves en sus diseños, lo que teóricamente permite que los posibles atacantes intercepten sus datos personales..

Fallas fatales de la aptitud

Los rastreadores de actividad física han visto un aumento sin precedentes en la popularidad 17 Los mejores artilugios de salud y acondicionamiento físico para mejorar su cuerpo 17 Los mejores artilugios de salud y acondicionamiento físico para mejorar su cuerpo En los últimos años, la innovación en torno a los aparatos de salud y acondicionamiento físico ha explotado. Aquí están solo algunas de las increíbles piezas del kit que podrás usar para que te sientas bien. Lea más a lo largo de los últimos años. Solo en el cuarto trimestre de 2015, se registró un aumento masivo del 197% en las ventas anuales, de 7,1 millones a 21 millones de unidades. Analistas de mercado Parques Asociados calcule que el mercado global de rastreadores de actividad física continuará creciendo, pasando de $ 2 mil millones en 2014 a $ 5,4 mil millones en 2019. Estas son ganancias significativas, lo que indica el número de usuarios potencialmente expuestos a este vector de ataque previamente desconocido.

Organización de investigación canadiense sin fines de lucro Efecto abierto, y laboratorio de investigación interdisciplinario. Laboratorio ciudadano, examinó ocho de los dispositivos portátiles de fitness más populares actualmente disponibles: el Apple Watch, el Basis Peak, el Fitbit Charge HR, el Garmin Vivosmart, el Jawbone UP 2, el Mio Fuse, el Withings Pulse O2 y el Xiaomi Mi Band.

El informe de investigación combinado buscó descubrir los pasos que están tomando las compañías de tecnología para proteger y mantener la seguridad de sus datos. Si bien sabemos y comprendemos que los rastreadores de actividad física recopilarán los latidos del corazón, los pasos, las calorías y los datos del sueño, los investigadores exploraron qué sucede con esos datos cuando están en manos de los desarrolladores de dispositivos..

¿Qué datos se envían a un servidor remoto? ¿Cómo aseguran los datos las empresas tecnológicas? ¿Con quién se comparte? ¿Cómo las empresas hacen uso de la información??

Los hallazgos clave incluyeron:

• Siete de los ocho dispositivos de seguimiento de actividad física emiten identificadores únicos persistentes (dirección de control de acceso a medios Bluetooth) que pueden exponer a sus usuarios a un seguimiento a largo plazo de su ubicación cuando el dispositivo no está emparejado y conectado a un dispositivo móvil.
• Las aplicaciones Jawbone y Withings pueden ser explotadas para crear registros de banda de fitness falsos. Dichos registros falsos cuestionan la confiabilidad del uso de esos datos de seguimiento físico en casos judiciales y programas de seguros..
• Las aplicaciones Garmin Connect (iPhone y Android) y la aplicación Withings Health Mate (Android) tienen vulnerabilidades de seguridad que permiten a un tercero no autorizado leer, escribir y eliminar datos de usuarios.
• Garmin Connect no emplea prácticas básicas de seguridad de transmisión de datos para sus aplicaciones iOS o Android y, por lo tanto, expone la información sobre el estado físico a vigilancia o manipulación..

Identificadores únicos persistentes

La tecnología wearable emite una señal Bluetooth persistente. Ya sea smartwatch o fitness tracker, esta señal se usa para comunicarse constantemente con su teléfono inteligente. Su comunicación con el dispositivo externo se mantiene mediante una dirección MAC (Control de acceso a medios) ¿Qué es una dirección MAC y se puede usar para proteger su red doméstica? [MakeUseOf Explica] ¿Qué es una dirección MAC y puede usarse para proteger su red doméstica? [MakeUseOf Explica] La estructura y gestión de la red tienen su propia jerga. Es probable que algunos de los términos arrojados alrededor te suenen familiares. Ethernet y Wi-Fi son conceptos bastante obvios, aunque pueden requerir un poco ... Leer más, identificando de forma única el rastreador de ejercicios.

En el contexto de los rastreadores de actividad física, el mantenimiento de la seguridad de los datos personales exige que estas direcciones sean aleatorias para garantizar que el usuario no pueda ser rastreado e identificado por la Dirección MAC. Las balizas Bluetooth, que se utilizan cada vez más en los centros comerciales para crear publicidad móvil dirigida, pueden rastrear y perfilar esos dispositivos con una sola dirección MAC (también pueden ser construidos por cualquier persona con una computadora compacta y adecuada. Construya un iBeacon de bricolaje con un Raspberry Pi Build un iBeacon de bricolaje con una Raspberry Pi Los anuncios dirigidos a un usuario en particular que camina por un centro metropolitano son cosas de futuros distópicos. Pero eso no es un futuro distópico en absoluto: la tecnología ya está aquí. Leer más). De hecho, de los dispositivos probados solo el Apple Watch aleatorizó su dirección MAC “en un intervalo de aproximadamente 10 minutos” para proteger la identidad de su usuario.

Con la dirección MAC persistente registrada, la ubicación del usuario podría ser rastreada de beacon a beacon. Si un centro comercial decide recopilar información de ubicación del usuario a lo largo de su visita de compras, los datos podrían venderse a una agencia de marketing u otro intermediario de datos, sin avisar primero al usuario. Si un solo intermediario de datos puede comprar múltiples perfiles, la información se puede compilar para crear sofisticados perfiles de publicidad dirigida, que se activan cada vez que el usuario (y su identificador único del dispositivo) ingresa al edificio..

Las aplicaciones son igual de malas

Cada rastreador de ejercicios viene con su propia aplicación de monitoreo, que captura la gran cantidad de datos relacionados con el estado físico y los traduce en una bonita representación visual de las acciones de los usuarios. Sin embargo, se ha encontrado que las propias aplicaciones filtran información personal, en múltiples ubicaciones de transmisión.

Por ejemplo, uno esperaría que cualquier transmisión de datos personales se cifrara usando HTTPS como mínimo. ¿Qué es HTTPS y cómo habilitar conexiones seguras por defecto? ¿Qué es HTTPS y cómo habilitar conexiones seguras por defecto? Las preocupaciones de seguridad se están extendiendo por todas partes. Han llegado a la vanguardia de la mente de todos. Términos como antivirus o firewall ya no son un vocabulario extraño y no solo se entienden, sino que también se usan en ... Leer más; Garmin Connect no logró ni siquiera eso, dejando los datos del usuario expuestos pasivamente a un potencial intruso..

Del mismo modo, aunque Bellabeat Leaf y Withings Health Mate se comunican con servidores remotos mediante HTTPS, ambas compañías enviaron correos electrónicos de texto sin formato a los usuarios para confirmar sus credenciales de registro, dejando a los usuarios abiertos a los ataques de intermediarios. Cualquier atacante con conocimiento práctico de la API de Bellabeat o Withings podría acceder a una amplia gama de información de aptitud personal en cuestión de minutos. Esta forma de ataque también podría usarse para enviar datos maliciosos o falsos al teléfono portátil o al usuario, también.

Manipulación de datos

Tres de las aplicaciones de seguimiento de fitness observadas “eran vulnerables a un usuario motivado que creaba datos de aptitud falsos generados para su propia cuenta,” engañando a los servidores de la compañía para que acepten datos falsos. Efecto abierto y Laboratorio ciudadano creó varias aplicaciones diseñadas para engañar a los servidores del rastreador de ejercicios para que acepten información falsa, con Bellabeat LEAF, Jawbone UP y Withings Health Mate en breve.

“Enviamos una solicitud a Jawbone indicando que nuestro usuario de prueba dio diez mil millones de pasos en un solo día.”

Su aplicación distribuyó uniformemente los intervalos de pasos en intervalos fijos durante un período de tiempo deseado, creando una distribución artificial de pasos. Los investigadores concluyeron que un enfoque más sofisticado sería “Asigna aleatoriamente pasos para establecer una distribución más realista” para escapar de la detección.

Por qué es esto un problema?

Los rastreadores de actividad física pueden mantener un flujo continuo de recopilación de datos personales. ¿Cuántos de sus datos personales podrían rastrear los dispositivos inteligentes? ¿Cuántos de sus datos personales podrían rastrear los dispositivos inteligentes? La privacidad de la casa inteligente y las preocupaciones de seguridad son tan reales como siempre. Y aunque nos encanta la idea de tecnología inteligente, esta es solo una de las muchas cosas que hay que tener en cuenta antes de bucear ... Leer más. Los vectores comunes de recolección de datos incluyen pasos, latidos del corazón, patrones de sueño, elevación, geolocalizaciones, calidad de las actividades y tipos de actividades.

Algunos de los rastreadores de actividad física alientan a sus usuarios a participar en actividades físicas o sociales adicionales, como especificar los alimentos para el conteo y análisis de calorías, el estado de ánimo personal en momentos específicos del día (también en relación con las actividades y el consumo de alimentos), para registrar su condición física objetivos 10 plantillas de Excel para realizar un seguimiento de su salud y estado físico 10 plantillas de Excel para realizar un seguimiento de su salud y estado físico Lea más y realice un seguimiento del progreso a lo largo del tiempo Haga un seguimiento de las áreas clave de su vida en 1 minuto con Google Forms Haga un seguimiento de las áreas clave de su vida en 1 minuto con Formularios de Google Es sorprendente lo que puede aprender sobre usted mismo cuando se toma el tiempo de prestar atención a sus hábitos y comportamientos diarios. Utilice los versátiles formularios de Google para realizar un seguimiento de su progreso con objetivos importantes. Lea más, o compita con otros entusiastas del ejercicio físico en entornos de tablero de control con estilo de redes sociales gamified Las mejores aplicaciones de ejercicio social para trabajar con amigos y familiares Las mejores aplicaciones de ejercicio social para trabajar con amigos y familiares Las aplicaciones de ejercicio de medios sociales pueden ser una de Las mejores formas de ser responsable ante tus amigos, ¡pero necesitas encontrar la aplicación que mejor se adapte a ti! Lee mas .

Las cuestiones planteadas por Efecto abierto y Laboratorio ciudadano ilustre los peligros de confiar en los rastreadores de ejercicios para proporcionar datos personales confiables en una variedad de situaciones. Los datos del rastreador de condición física se han utilizado para asegurar pólizas de seguro o representar el progreso realizado con problemas médicos, sin embargo, vemos que los datos se pueden falsificar fácilmente..

Además, ¿estos problemas de datos hacen cuestionable la naturaleza misma de estas compañías de tecnología de seguimiento físico? ¿Cómo se traducen estos malos intentos de protección de datos a sus otros productos? El problema no está relacionado solo con los rastreadores de actividad física, y tanto los ciudadanos como los reguladores deben hacer más para garantizar que los datos de los usuarios estén protegidos en todo momento, para que no se vean afectadas industrias enteras por su aparente falta de cuidado y discreción con los datos privados..

Qué sigue?

Los hallazgos del informe son claros: mayor seguridad basada en las recomendaciones de Efecto abierto y Laboratorio ciudadano. La seguridad personal y privada es grave, y debemos abordar los problemas a medida que llegan. Pero no solo se necesita seguridad mejorada. Los usuarios de Fitness Tracker deben comprender a dónde se envían sus datos, dónde se almacenan y a qué otras partes tienen acceso..

La responsabilidad recae en las empresas de tecnología para comunicar a sus usuarios toda la profundidad de la vigilancia técnica que también han aceptado, ya sea que se den cuenta o no, junto con sus riesgos potenciales..

¿Es hora de tirar su rastreador de fitness? Probablemente no, especialmente si tienes un Apple Watch No The Apple Watch: 9 Otros Wearables compatibles con iPhone No The Apple Watch: 9 Otros Wearables amigables con iPhone El anuncio del Apple Watch fue una gran noticia, pero está lejos de ser el único dispositivo portátil Diseñado para ser utilizado con un iPhone. Lee mas . A pesar de las reacciones encontradas en los hallazgos del informe técnico de los fabricantes de rastreadores de ejercicios, es poco probable que estas vulnerabilidades existan por mucho tiempo..

O, al menos podemos esperar que no existan por mucho tiempo..

¿Está preocupado por su rastreador de fitness? ¿Ha perdido datos a través de la tecnología portátil? ¿Que pasó? Háganos saber a continuación!

Explorar más sobre: ​​Fitness, Seguridad en línea, Tecnología para usar.