Uma nova pesquisa mostra que os
smartwatches, ou relógios inteligentes, podem se tornar instrumentos para
espionar seus usuários. Coletando sinais silenciosos do acelerômetro – responsável
por detectar e medir vibrações – e giroscópio – utilizados em
instrumentos como as bússolas –, depois de analisados, se transformam em
conjuntos de dados exclusivos do proprietário do dispositivo. Esses conjuntos
de dados, se usados impropriamente, permitem monitorar atividades, inclusive a
inserção de informações sigilosas. Essas são as conclusões da nova análise da Kaspersky Lab
sobre o impacto que a disseminação da IoT pode ter sobre a vida diária dos
usuários e a segurança de suas informações.
Nos últimos anos, o setor de cibersegurança tem mostrado que os dados particulares de usuários estão se tornando um bem muito valioso, devido à sua utilização praticamente ilimitada em atividades criminosas, da criação de perfis digitais sofisticados das vítimas de criminosos virtuais a previsões de comportamento dos usuários no mercado. Mas, embora o receio dos consumidores em relação à exploração de informações pessoais esteja aumentando, e muitos deles estejam prestando atenção às plataformas online e aos métodos de coleta de dados, outras fontes de ameaças menos óbvias continuam em aberto. Por exemplo, para ajudar a manter um estilo de vida saudável, muitos de nós usamos monitores de condição física para controlar nossas atividades físicas e esportivas – mas isso pode ter consequências perigosas.
Os dispositivos wearable inteligentes, incluindo smartwatches e pulseiras de atividade, são usados comumente durante as atividades esportivas para monitorar saúde e receber notificações por push, etc. Para realizar suas funções principais, a maioria desses dispositivos é equipada com sensores de aceleração (acelerômetros) internos, muitas vezes combinados com sensores de rotação (giroscópios) para contagem de passos e identificação da posição do usuário. Os especialistas da Kaspersky Lab resolveram examinar quais informações do usuário esses sensores poderiam fornecer para terceiros não autorizados, e analisaram mais de perto vários relógios inteligentes de diferentes fornecedores.
Nos últimos anos, o setor de cibersegurança tem mostrado que os dados particulares de usuários estão se tornando um bem muito valioso, devido à sua utilização praticamente ilimitada em atividades criminosas, da criação de perfis digitais sofisticados das vítimas de criminosos virtuais a previsões de comportamento dos usuários no mercado. Mas, embora o receio dos consumidores em relação à exploração de informações pessoais esteja aumentando, e muitos deles estejam prestando atenção às plataformas online e aos métodos de coleta de dados, outras fontes de ameaças menos óbvias continuam em aberto. Por exemplo, para ajudar a manter um estilo de vida saudável, muitos de nós usamos monitores de condição física para controlar nossas atividades físicas e esportivas – mas isso pode ter consequências perigosas.
Os dispositivos wearable inteligentes, incluindo smartwatches e pulseiras de atividade, são usados comumente durante as atividades esportivas para monitorar saúde e receber notificações por push, etc. Para realizar suas funções principais, a maioria desses dispositivos é equipada com sensores de aceleração (acelerômetros) internos, muitas vezes combinados com sensores de rotação (giroscópios) para contagem de passos e identificação da posição do usuário. Os especialistas da Kaspersky Lab resolveram examinar quais informações do usuário esses sensores poderiam fornecer para terceiros não autorizados, e analisaram mais de perto vários relógios inteligentes de diferentes fornecedores.
Para examinar a questão, os
especialistas desenvolveram um aplicativo para smartwatch bastante simples, que
registra os sinais dos acelerômetros e giroscópios integrados. Os dados
registrados são salvos na memória do dispositivo wearable ou carregado no
celular emparelhado via Bluetooth.
Usando algoritmos matemáticos disponíveis para a capacidade de computação do wearable inteligente, foi possível identificar padrões de comportamento, os momentos e locais em que o usuário estava em movimento e por quanto tempo isso aconteceu. Mais importante, foi possível identificar atividades sigilosas do usuário, incluindo inserção de senhas no computador (com precisão de até 96%), inserção de um código PIN no caixa eletrônico (aproximadamente 87%) e desbloqueio do celular (aproximadamente 64%).
O próprio conjunto de dados de sinais é um padrão de comportamento exclusivo do proprietário do dispositivo. Usando isso, um terceiro poderia ir além e tentar definir a identidade do usuário por meio de um endereço de e-mail solicitado na fase de registro no aplicativo ou pela ativação do acesso às credenciais de conta do Android. Depois disso, é questão de tempo até a identificação detalhada das informações da vítima, incluindo sua rotina diária e os momentos de inserção de dados importantes. E, considerando o preço cada vez maior dos dados particulares de usuários, podemos nos ver facilmente em uma situação em que esse vetor será transformado em dinheiro.
Mesmo que essa exploit não seja explorada financeiramente, mas usada por criminosos virtuais em seus próprios objetivos maliciosos, as possíveis consequências são limitadas somente pela imaginação e o nível de conhecimento técnico dos criminosos. Por exemplo, eles poderiam descriptografar os sinais recebidos usando redes neurais, armar ciladas para as vítimas ou instalar skimmers em seus caixas eletrônicos favoritos. Também já observamos que os criminosos podem alcançar 80% de precisão ao tentar descriptografar sinais do acelerômetro e identificar senhas ou PINs usando apenas os dados coletados pelos sensores de relógios inteligentes.
“Os wearables inteligentes não são apenas dispositivos em miniatura; são sistemas físico-cibernéticos capazes de registrar, armazenar e processar parâmetros físicos. Nossa pesquisa mostra que mesmo algoritmos muito simples, executados no próprio smartwatch, são capazes de capturar o perfil de sinais do acelerômetro e do giroscópio exclusivo do usuário. Esses perfis podem, então, ser usados para “eliminar o anonimato” do usuário e rastrear suas atividades, inclusive os momentos em que estão inserindo informações sigilosas. Isso pode ser feito usando aplicativos legítimos do relógio inteligente, que enviam dados de sinais secretamente para terceiros”, disse Sergey Lurye, entusiasta de segurança e coautor da pesquisa da Kaspersky Lab.
Os pesquisadores da Kaspersky Lab recomendam que os usuários prestem atenção às seguintes peculiaridades ao usar dispositivos inteligentes:
Usando algoritmos matemáticos disponíveis para a capacidade de computação do wearable inteligente, foi possível identificar padrões de comportamento, os momentos e locais em que o usuário estava em movimento e por quanto tempo isso aconteceu. Mais importante, foi possível identificar atividades sigilosas do usuário, incluindo inserção de senhas no computador (com precisão de até 96%), inserção de um código PIN no caixa eletrônico (aproximadamente 87%) e desbloqueio do celular (aproximadamente 64%).
O próprio conjunto de dados de sinais é um padrão de comportamento exclusivo do proprietário do dispositivo. Usando isso, um terceiro poderia ir além e tentar definir a identidade do usuário por meio de um endereço de e-mail solicitado na fase de registro no aplicativo ou pela ativação do acesso às credenciais de conta do Android. Depois disso, é questão de tempo até a identificação detalhada das informações da vítima, incluindo sua rotina diária e os momentos de inserção de dados importantes. E, considerando o preço cada vez maior dos dados particulares de usuários, podemos nos ver facilmente em uma situação em que esse vetor será transformado em dinheiro.
Mesmo que essa exploit não seja explorada financeiramente, mas usada por criminosos virtuais em seus próprios objetivos maliciosos, as possíveis consequências são limitadas somente pela imaginação e o nível de conhecimento técnico dos criminosos. Por exemplo, eles poderiam descriptografar os sinais recebidos usando redes neurais, armar ciladas para as vítimas ou instalar skimmers em seus caixas eletrônicos favoritos. Também já observamos que os criminosos podem alcançar 80% de precisão ao tentar descriptografar sinais do acelerômetro e identificar senhas ou PINs usando apenas os dados coletados pelos sensores de relógios inteligentes.
“Os wearables inteligentes não são apenas dispositivos em miniatura; são sistemas físico-cibernéticos capazes de registrar, armazenar e processar parâmetros físicos. Nossa pesquisa mostra que mesmo algoritmos muito simples, executados no próprio smartwatch, são capazes de capturar o perfil de sinais do acelerômetro e do giroscópio exclusivo do usuário. Esses perfis podem, então, ser usados para “eliminar o anonimato” do usuário e rastrear suas atividades, inclusive os momentos em que estão inserindo informações sigilosas. Isso pode ser feito usando aplicativos legítimos do relógio inteligente, que enviam dados de sinais secretamente para terceiros”, disse Sergey Lurye, entusiasta de segurança e coautor da pesquisa da Kaspersky Lab.
Os pesquisadores da Kaspersky Lab recomendam que os usuários prestem atenção às seguintes peculiaridades ao usar dispositivos inteligentes:
1) Desconfie. Se o aplicativo envia uma solicitação para recuperar informações da conta do usuário, você pode se preocupar, pois seria fácil para os criminosos usarem isso para criar uma “impressão digital” do proprietário;
2) Tenha cuidado. Se o aplicativo também solicitar permissão para enviar dados de geolocalização, você deve se preocupar. Não conceda permissões adicionais aos monitores de atividade física que você baixa no smartwatch, nem defina seu endereço e-mail corporativo no login;
3) Atenção. O consumo rápido da bateria do dispositivo também pode ser motivo para preocupação. Se a bateria do aparelho acabar depois de algumas horas quando deveria durar um dia, verifique o que ele está fazendo. Talvez esteja perdendo os sinais ou, pior, enviando-os para algum outro lugar.
Para saber mais sobre vigilância via dispositivos inteligentes wearable, leia a postagem no blog em Securelist.com.
Kaspersky Lab