ESET analisa que dispositivos de monitoramento, apesar de se tornarem uma solução inovadora no cuidado da saúde, podem apresentar potenciais riscos à segurança de dados
Os relógios inteligentes, dispositivos de
monitoramento de atividade física e outros tipos de wearables, estão se
tornando quase tão comuns quanto celulares e tablets. Esses gadgets conectados
monitoram a saúde, permitem visualizar e-mails, controlar dispositivos
inteligentes e realizar pagamentos. São uma extensão do que se conhece como
dispositivo de internet das coisas (da sigla em inglês, IoT) que tentam
transformar a rotina mais saudável e cômoda ao reduzir o tempo de exposição à
tela dos celulares.
Em São Paulo, os wearables entraram oficialmente no
cenário da saúde: a
Samsung firmou parceria com o InCor (Instituto do Coração do Hospital das
Clínicas da Faculdade de Medicina da Universidade de São Paulo), em um projeto
que permitirá o monitoramento de pacientes recém operados ou que estão
esperando para fazer cirurgias cardíacas por meio de um smartwatch produzido
pela marca.
As novas tecnologias presentes no dispositivo
vestível possibilitarão a visualização da saturação de oxigênio, detecção de
batimentos cardíacos irregulares, monitoramento de pressão arterial, padrão de
sono, eletrocardiograma e até mesmo bioimpedância. Os dados coletados pelo
smartwatch serão analisados por profissionais de equipes médicas e de
tecnologia do Instituto do Coração, através de um aplicativo e plataforma de
alta segurança desenvolvidos pela Samsung no Brasil.
A
expectativa é que esse mercado tenha um crescimento anual de 12,5% nos
próximos anos, superando 118 bilhões de dólares em 2028. No entanto, enquanto os wearables
fazem parte da vida cotidiana, eles também coletam dados e se conectam a um
número crescente de outros sistemas inteligentes. Por isso, a ESET, companhia
líder em detecção proativa de ameaças, analisa os possíveis riscos de segurança
e privacidade que se pode encontrar nesta tecnologia.
“Os cibercriminosos têm diversas formas de
monetizar os ataques aos wearables inteligentes e ao ecossistema relacionado de
aplicativos e software. Eles podem interceptar e manipular dados e senhas e
desbloquear dispositivos perdidos ou roubados. Também existem possíveis
preocupações de privacidade sobre a troca secreta de dados pessoais com
terceiros”, comenta Camilo Gutiérrez Amaya, Chefe do Laboratório de
Investigação da ESET América Latina.
As principais preocupações a respeito da segurança
e privacidade, segundo a ESET, são:
- Roubo e manipulação de dados: alguns relógios inteligentes
com mais funções proporcionam acesso sincronizado aos aplicativos dos
smartphones, como o e-mail e aplicativos de conversa. Isso pode fazer com
que hackers tentem interceptar dados pessoais e confidenciais dos
usuários. Outro aspecto igualmente preocupante é o local de armazenamento
da maioria desses dados. Se não estiver devidamente protegido, o provedor
pode ser alvo de criminosos que roubam informações. Existe um mercado
clandestino muito próspero para certos tipos de dados pessoais e
financeiros.
- Ameaças baseadas na localização: outro tipo de dados-chave
registrados pela maioria dos wearables, se relaciona com a localização.
Com essa informação, os cibercriminosos podem construir um perfil preciso
de seus movimentos ao decorrer do dia. Isso permite ataques físicos ao
usuário, roubo de automóveis e casas se, por exemplo, tem a informação de
que estão vazios. Existem preocupações ainda maiores sobre a segurança de
crianças que usam esses dispositivos, se estão sendo rastreadas por
terceiros não autorizados.
- Empresas terceirizadas: os usuários não devem apenas
ficar alertas apenas para riscos de segurança. Os dados que são coletados
nos dispositivos podem ser extremamente valiosos para anunciantes. Existe
uma demanda importante por esses dados em certos mercados. Um relatório
da Juniper Research apontou que a renda obtida a partir das
informações vendidas para fabricantes de dispositivos de saúde e
seguradoras pode chegar aos 855 milhões de dólares em 2023. Algumas dessas
empresas podem, inclusive, utilizar dados para criar perfis publicitários
dos usuários e vendê-los. Se essas informações são armazenadas por várias
outras empresas, o risco de uma possível brecha é ainda maior.
- Destrancar casa inteligente: alguns wearables podem ser
utilizados para controlar dispositivos IoT de casas inteligentes,
inclusive podendo ser configurados para destrancar a porta da casa. Isso
representa um risco de segurança importante, no caso de perda ou roubo
desses acessórios, principalmente se a configuração antirroubo não estiver
habilitada.
Além disso, segundo a ESET, existem diversos
elementos que fazem parte dos dispositivos que são passíveis de ataques se a
segurança e a privacidade não foram adequadamente consideradas pelo fabricante.
Desde o firmware do dispositivo até os protocolos usados para conectividade,
aplicativos e servidores backend na nuvem. Estes são alguns exemplos:
Bluetooth: Bluetooth Low Energy
geralmente é utilizado para emparelhar dispositivos portáteis ao smartphone. No
entanto, foram descobertas diversas vulnerabilidades em seu protocolo ao
decorrer dos anos, que poderiam permitir que invasores próximos bloqueiem
dispositivos, espionem ou manipulem seus dados.
Dispositivos: muitas vezes o software no próprio
dispositivo é vulnerável a ataques externos devido ao baixo desenvolvimento.
Até mesmo um smartwatch bem projetado é construído por humanos e, portanto,
pode conter erros no código. Isso também pode levar a vazamentos que
comprometem privacidade, perda de dados e muito mais. Autenticação/criptografia
fraca em wearables pode significar ameaças de sequestros de dados e escutas
inadequadas. Além disso, os usuários também devem estar atentos à espionagem de
visualização de mensagens/dados confidenciais em seus dispositivos portáteis em
locais públicos.
Aplicativos: os aplicativos para
smartphones vinculados aos wearables são outra via de ataque, pois podem ter
sido programados de forma errônea e passíveis de vulnerabilidades de dados e da
exposição do próprio dispositivo. Outro risco é que os aplicativos, ou até
mesmo os próprios usuários, são descuidados com as informações quando, por
exemplo, baixam aplicativos falsos com designs parecidos com os
legítimos, tendo dessa forma, seus dados pessoais roubados.
Servidores back-end: os provedores
de sistemas baseados em nuvem podem armazenar informações do dispositivo,
incluindo dados de localização e outros detalhes. Isso representa um alvo
atraente para os criminosos. Não há muito que possa ser feito sobre isso, além
de escolher um provedor com um bom registro de segurança.
"As preocupações em torno dos wearables
persistem até hoje, com pesquisas mostrando dispositivos suscetíveis a
adulterações que podem até causar sofrimento físico ao usuário. Outro estudo alegou que os
cibercriminosos poderiam alterar senhas, fazer chamadas, enviar mensagens de
texto e acessar câmeras de dispositivos projetados para monitorar idosos e
crianças. À medida que os wearables se tornam uma parte cada vez mais
importante de nossas vidas, eles se tornarão um alvo maior para os criminosos.
Pesquisar antes de comprar e desligar o maior número possível de vias de ataque
quando o dispositivo é lançado, é fundamental para a proteção", acrescenta
Camilo Gutierrez.
Para minimizar os riscos, a ESET recomenda:
- Ativar
a autenticação
de dois fatores
- Proteger
as telas de bloqueio com senha
- Alterar
configurações para evitar qualquer emparelhamento não autorizado
- Só
visitar lojas de aplicativos legítimas
- Manter
todos os softwares atualizados
- Nunca
fazer jailbreak/root de dispositivos
- Limitar
as permissões do aplicativo
- Ter
uma solução de segurança
instalada no dispositivo
- Escolher
marcas com boa reputação
- Examinar
de perto as configurações de privacidade e segurança para garantir que
elas estejam configuradas corretamente
Você também pode proteger sua casa inteligente com
as seguintes ações:
- Não
sincronize dispositivos portáteis com a porta da casa
- Mantenha
dispositivos na rede Wi-Fi convidada
- Atualize
todos os dispositivos para o firmware mais recente
- Certifique-se
de modificar todas as senhas padrão de fábrica que vêm em
dispositivos
ESET
Nenhum comentário:
Postar um comentário