Symantec: Εντοπισμός και παρακολούθηση της δραστηριότητας μέσω των wearable gadgets
Οι λάτρεις της ηλεκτρονικής καταγραφής της ζωής τους δημιουργούν ένα χείμμαρο με τις προσωπικές τους πληροφορίες μέσω εφαρμογών και συσκευών. Είναι αυτά τα δεδομένα ασφαλή από τα αδιάκριτα βλέμματα;
Κάθε μέρα, εκατομμύρια άνθρωποι παγκοσμίως καταγράφουν κάθε άποψη της ζωής τους, τις σκέψεις τους, τις εμπειρίες τους και τα κατορθώματα των δραστηριοτήτων τους (γνωστό και ως self-tracking ή life logging). Τα άτομα που ασχολούνται με το self-tracking το κάνουν για διάφορους λόγους. Δεδομένου του όγκου των προσωπικών δεδομένων που δημιουργούνται, μεταδίδονται και αποθηκεύονται σε διάφορα σημεία, η ιδιωτικότητα και η ασφάλεια αποτελούν σημαντικά ζητήματα για τους χρήστες αυτών των συσκευών και των εφαρμογών. Η Symantec ανακάλυψε ρίσκα στην ασφάλεια σε σημαντικό αριθμό self-tracking συσκευών και εφαρμογών. Ένα από τα σημαντικά ευρήματα ήταν ότι όλες αυτές οι wearable συσκευές δραστηριοτήτων που εξετάστηκαν, συμπεριλαμβανομένων και ορισμένων κορυφαίων brands, είναι ευπαθείς στον εντοπισμό τοποθεσίας (location tracking).
Οι ερευνητές δημιούργησαν μια σειρά συσκευών σάρωσης χρησιμοποιώντας τα Raspberry Pi minicomputers και τοποθετώντας τα σε αθλητικές εκδηλώσεις και πολυσύχναστα δημόσια μέρη, ανακάλυψαν ότι ο εντοπισμός των ατόμων ήταν πιθανός και εφικτός.
Η Symantec βρήκε ευπάθειες σχετικά με το πως τα προσωπικά δεδομένα αποθηκεύονται και πως γίνεται η διαχείριση τους, όπως για παράδειγμα η μη κρυπτογραφημένη μεταφορά κωδικών και η ελλιπής διαχείριση των sessions κατά τη σύνδεση των εφαρμογων με τους servers.
Πως δουλεύουν τα self-tracking συστήματα;
Πολλοί άνθρωποι που ασχολούνται με το self-tracking, το εφαρμόζουν με gadgets όπως τα ηλεκτρονικά περικάρπια, τα έξυπνα ρολόγια, pendants, ακόμη και “έξυπνα” ρούχα. Αυτά τα gadgets τυπικά περιέχουν μια σειρά από sensors, έναν επεξεργαστή, μνήμη και ένα περιβάλλον επικοινωνίας (communication interface). Αυτά τα gadgets επιτρέπουν στον χρήστη να συλλέγει, να αποθηκεύει, και να μεταδίδει τα δεδομένα του χωρίς κόπο σε άλλο υπολογιστή για επεξεργασία και ανάλυση.
Εικόνα 1. Τι περιλαμβάνει μία τυπική συσκευή καταγραφής
Παρά την αυξανόμενη χρήση των ειδικά σχεδιασμένων gadgets, τα smartphones είναι ίσως τα πιο κοινά εργαλεία που οι άνθρωποι χρησιμοποιούν για να πραγματοποιήσουν το self-tracking. Ένα σύγχρονο smartphone είναι εξοπλισμένο με μία ευρεία γκάμα από διαφορετικούς sensors που μπορούν να χρησιμοποιηθούν για μία σειρά από self-tracking εφαρμογές. Οι περισσότεροι έχουν πάντα μαζί τους τα κινητά τους τηλέφωνα και η πληθώρα των δωρεάν self-tracking εφαρμογών, καθιστά πιο εύκολο από ποτέ για τους χρήστες να κάνουν self-tracking.
Εικόνα 2. Σύγχρονα smartphones διαθέτουν μια σειρά από sensors
Για να ξεκινήσουν το self-tracking, οι χρήστες απλά επιλέγουν από την ευρεία γκάμα εφαρμογών που βρίσκονται διαθέσιμα στα app markets, εγκαθιστούν μία από αυτές, εγγράφονται σε αυτή και ξεκινούν το tracking. Στο τέλος κάθε συνεδρίας, ο χρήστης μπορεί να ανατρέξει και να συγχρονίσει τα δεδομένα που έχουν συλλεχθεί σε ένα cloud-based server για αποθήκευση.
Table of Contents
Πόσο ασφαλής είναι η ηλεκτρονική καταγραφή του εαυτού σας;
Όταν τα προσωπικά μας δεδομένα που αφορούν ηλεκτρονικά καταγεγραμμένες πληροφορίες για τον εαυτό μας είναι στη διάθεση των παρόχων, αυτό σημαίνει αυτόματα ότι τους εμπιστευόμαστε; Πως γνωρίζουμε ότι λαμβάνουν όλα τα απαραίτητα μέτρα για να προστατεύσουν τα δεδομένα μας και την ιδιωτικότητά μας; Για να μπορέσουμε να δούμε τι συμβαίνει, εξετάσαμε τι κάνουν οι εταιρείες για να προστατεύσουν τους χρήστες των υπηρεσιών τους, μέσω των δημοφιλών συσκευών και εφαρμογών της αγοράς.
Eντοπισμός θέσης wearable συσκευών
Όλες οι wearable συσκευές εντοπισμού δραστηριότητας μπορούν να εντοπιστούν μέσω πρωτοκόλλων ασύρματης μετάδοσης.
Υπάρχουν πολλές wearable συσκευές παρακολούθησης αθλητικών δραστηριοτήτων στην αγορά. Αυτές οι συσκευές γενικώς περιέχουν sensors για να εντοπίζουν την κίνηση αλλά οι περισσότεροι δεν είναι σχεδιασμένοι για εντοπισμό θέσης. Τα δεδομένα που συλλέγονται από αυτές τις συσκευές πρέπει να συγχρονίζονται με άλλη συσκευή ή υπολογιστή έτσι ώστε να μπορεί να γίνει επεξεργασία. Για ευκολία πολλοί κατασκευαστές χρησιμοποιούν Bluetooth Χαμηλής Ενέργειας για να επιτρέψουν στη συσκευή να συγχρονίσει ασύρματα τα δεδομένα με ένα smartphone ή υπολογιστή. Αυτή η ευκολία έχει όμως ένα τίμημα· η συσκευή μπορεί να δίνει πληροφορίες που να επιτρέπουν τον εντοπισμό από μία τοποθεσία σε μία άλλη.
Για να δοκιμάσουμε πως αυτές οι συσκευές μπορούν να εντοπιστούν, δημιουργήσαμε μία φορητή Bluetooth scanning συσκευή χρησιμοποιώντας Raspberry Pi minicomputers και άλλα περιφερειακά όπως ένα Bluetooth 4.0 adaptor, μια σειρά μπαταριών και μία SD κάρτα. Αυτά συνδυάστηκαν με open source λογισμικό και τυπικό scripting. Κάθε συσκευή κόστιζε περίπου US$75 και μπορούσε εύκολα να δημιουργηθεί από οποιονδήποτε με βασικές γνώσεις πληροφορικής.
Τα αποτελέσματα της έρευνας δείχνουν ότι οι κατασκευαστές αυτών των συσκευών (συμπεριλαμβανομένων και των κορυφαίων στην αγορά) δεν έχουν σκεφτεί σοβαρά πώς θα αντιμετωπίσουν τα ζητήματα ιδιωτικότητας των προϊόντων αυτών. Ως συμπέρασμα, οι συσκευές, και αυτοί που τις φορούν, μπορούν εύκολα να εντοπιστούν από τον καθένα με βασικές ΙΤ δεξιότητες και με τη βοήθεια φθηνών εργαλείων.
Γιατί πρέπει να ανησυχούμε για αυτό?
Είναι πιθανό ότι κλέφτες ή κάποιοι που μας παρακολουθούν να χρησιμοποιήσουν τις πληροφορίες εντοπισμού θέσης για κακόβουλο σκοπό. Υπάρχουν παραδείγματα που κλέφτες χρησιμοποίησαν συστήματα εντοπισμού θέσης για να μάθουν πότε το υποψήφιο θύμα δεν βρίσκεται στο σπίτι!
Μετάδοση προσωπικών δεδομένων και πληροφοριών εντοπισμού σε μορφή κείμενου
20% των εφαρμογών μεταδίδουν credentials του χρήστη χωρίς να έχουν κρυπτογραφηθεί.
Πολλές από τις συγκεκριμένες εφαρμογές και υπηρεσίες διαθέτουν ένα cloud server που οι χρήστες πρέπει να κάνουν upload και να αποθηκεύουν τα δεδομένα που συλλέγουν οι εφαρμογές τους για φύλαξη και ανάλυση. Πέρα από απλή αποθήκευση των δεδομένων των δραστηριοτήτων, ορισμένες υπηρεσίες συλλέγουν επιπλέον προσωπικές πληροφορίες όπως ημερομηνία γέννησης, διεύθυνση, φωτογραφίες και άλλα στατιστικά. Για την αποφυγή μη εξουσιοδοτημένης πρόσβασης στα δεδομένα του χρήστη, αυτές οι υπηρεσίες ζητούν δημιουργία λογαριασμού από τους χρήστες που θα προστατεύονται με user name και password.
Το ζήτημα που παρατηρήσαμε ήταν ότι ένα απαράδεκτα μεγάλο ποσοστό αυτών των εφαρμογών δεν χειρίζονται τα ευαίσθητα δεδομένα , όπως user names (π.χ email διευθύνσεις) και passwords, με ασφάλεια. Πολλά από αυτά μεταδίδουν δεδομένα που έχουν δημιουργηθεί από τους χρήστες όπως login credentials, μέσω ενός μη ασφαλούς μέσου όπως το διαδίκτυο, χωρίς καμία προσπάθεια προστασίας του (π.χ. μέσω κρυπτογράφησης). Αυτό σημαίνει ότι τα δεδομένα μπορούν εύκολα να υποκλαπούν και να διαβαστούν από τους επιτιθέμενους. Η έλλειψη βασικής ασφάλειας αποτελεί σημαντική παράλειψη και εγείρει ερωτήματα σχετικά με το πως αυτές οι υπηρεσίες χειρίζονται τις αποθηκευμένες πληροφορίες που έχουν στους servers τους.
Γιατί πρέπει να ανησυχούμε για αυτό?
Η διαβίβαση των credentials σε μορφή ακρυπρογράφητου κειμένου είναι ιδιαίτερα προβληματική δεδομένου ότι μεγάλη πλειονότητα των ανθρώπων τείνουν να επαναχρησιμοποιούν τα login credentials σε πολλές ιστοσελίδες. Χάρη στην επαναχρησιμοποίηση, οι λεπτομέρειες login που έχουν κλαπεί από μία υπηρεσία μπορούν πιθανώς να χρησιμοποιηθούν για να αποκτηθεί πρόσβαση σε ευαίσθητες υπηρεσίες όπως τα email accounts ή λογαριασμούς από online shopping.
Έλλειψη πολιτικών ιδιωτικότητας
52% των εφαρμογών που εξετάστηκαν δεν έχουν πολιτικές ιδιωτικότητας
Οι εφαρμογές self-tracking από τη φύση τους έχουν δημιουργηθεί για να συλλέγουν και να αναλύουν προσωπικές πληροφορίες. Είναι λοιπόν λογικό να αναμένουμε και πράγματι απαιτείται από το νόμο σε πολλές χώρες (όπως το Online Privacy Protection Act 2003), οι εταιρείες που συλλέγουν και διαχειρίζονται προσωπικά δεδομένα να έχουν μία πολιτική ιδιωτικότητας σε εμφανές σημείο και με εύκολη πρόσβαση. Οι πολιτικές ιδιωτικότητας πρέπει να είναι εύκολα κατανοητές και να εμφανίζονται στους χρήστες πριν αυτοί εγγραφούν στην υπηρεσία, έτσι ώστε να έχουν την επιλογή πριν αποφασίσουν να τη χρησιμοποιήσουν. Παρά την σπουδαιότητα ύπαρξης μίας πολιτικής ιδιωτικότητας, η πλειονότητα των εφαρμογών δεν είχαν καμία!
Γιατί πρέπει να ανησυχούμε για αυτό?
Η έλλειψη πολιτικής ιδιωτικότητας είναι μία πιθανή ένδειξη για το πώς οι παροχείς υπηρεσιών και εφαρμογών self-tracking χειρίζονται το θέμα της ασφάλειας. Οι χρήστες πρέπει να είναι καλά πληροφορημένοι και να το λάβουν αυτό υπόψη πριν εγγραφούν σε αυτές τις υπηρεσίες.
Ακούσια διαρροή δεδομένων
Ο μέγιστος αριθμός μοναδικών domains που ήρθε σε επαφή μία μόνο εφαρμογή ήταν 14 και ο μέσος όρος ήταν 5.
Κατά μέσο όρο βρήκαμε ότι οι εφαρμογές έρχονται σε επαφή με 5 διαφορετικά Internet domains.Στη χειρότερη περίπτωση, βρήκαμε μία εφαρμογή που ήρθε σε επαφή με 14 διαφορετικά domains τη σύντομη περίοδο της λειτουργίας της. Ενώ είναι κατανοητό ότι οι εφαρμογές μπορεί να χρειάζεται να επικοινωνήσουν με ένα μικρό αριθμό domains έτσι ώστε να μπορούν να μεταδώσουν τα συλλεχθέντα δεδομένα και να αποκτήσουν πρόσβαση σε ορισμένα APIs, όπως στις διαφημίσεις, μπορεί να προκαλέσει έκπληξη ότι σημαντικός αριθμός εφαρμογών έρχονται σε επαφή με 10 ή περισσότερα διαφορετικά domains για διάφορους σκοπούς. Πολλές από τις εφαρμογές δίνουν αναφορά σε υπηρεσίες ανάλυσης, ενώ άλλες χρησιμοποιούν αυτά τα analytics για να εξετάσουν την απόδοση της εφαρμογής για τυχόν θέματα αστοχίας της.
Παρά τις καλές προθέσεις των developers των εφαρμογών, οι πληροφορίες για τις δραστηριότητες των χρηστών μπορούν να αποκαλυφθούν με τον πιο απίθανο τρόπο, χάρη στο πως η εφαρμογή χρησιμοποιεί υπηρεσίες τρίτων. Υπάρχουν μία σειρά από ενδεικτικά παραδείγματα όπου η εφαρμογή μπορεί ακουσίως να διαρρεύσει τα δεδομένα σας.
Γιατί πρέπει να ανησυχούμε για αυτό?
Πολλοί από εμάς αρέσκονται στο να μοιράζονται λεπτομέρειες από τις ζωές μας συμπεριλαμβανομένου των φίλων και της οικογένειας, υπάρχουν και ορισμένα πράγματα που δεν είναι απαραίτητο να θέλουμε να μοιραστούμε. ‘Όταν επιλέγουμε να μην μοιραζόμαστε κάτι, σίγουρα δεν επιθυμούμε τους παρόχους της υπηρεσίας να το κάνουν αυτό για εμάς.
Άλλες αδυναμίες ασφαλείας
Σε κάθε υπηρεσία διαμοιρασμού, οι λογαριασμοί των χρηστών χρησιμοποιούνται για να διαχωρίζουν το status των χρηστών και τα δεδομένα του από των άλλων. Οι συνεδρίες χρησιμοποιούνται για να διαχειρίζονται και να επεξεργάζονται τη ροή των δεδομένων, έτσι ώστε οι χρήστες μπορούν να έχουν πρόσβαση μόνο στα δικά τους δεδομένα και να εκτελούν εργασίες στα δεδομένα που έχουν πρόσβαση. Η ελλειπής διαχείριση των συνεδριών μπορεί να γίνει θέμα εκμετάλλευσης από κυβερνοεγκληματίες που μπορούν να εισχωρήσουν στα sessions και να “παριστάνουν” άλλους χρήστες. Αυτό μπορεί να έχει ως αποτέλεσμα διαρροή πληροφοριών, βανδαλισμό των πληροφοριών και άλλα προβλήματα.
Γιατί πρέπει να ανησυχούμε για αυτό?
Φτωχά σχεδιασμένα συστήματα μπορούν να εκθέσουν σοβαρές ευπάθειες και να γίνουν αντικείμενο εκμετάλλευσης των επιτιθέμενων. Αυτό μπορεί να οδηγήσει σε πλήρη παραβίαση των δεδομένων των χρηστών από την πλευρά του παρόχου της υπηρεσίας. Ανάλογα από το βαθμό ευαισθησίας των δεδομένων , οι επιπτώσεις για τους χρήστες μπορεί να κυμαίνονται από ασήμαντες έως πολύ σοβαρές.
Τι μπορείτε να κάνετε για αυτό το θέμα;
Με μία πρώτη ματιά, η ηλεκτρονική καταγραφή και η ιδιωτικότητα φαίνεται να μην μπορούν να συμπορευτούν. Πώς η καταγραφή πληθώρας δεδομένων για τον εαυτό σας και η διατήρηση της ιδιωτικότητας σας μπορεί να είναι εφικτή; Σκεπτόμενοι τα ζητήματα ασφάλειας και ιδιωτικότητας που έχουν ανακύψει, το προφανές συμπέρασμα είναι ότι αν αναζητάτε την ιδιωτικότητά σας, το καλύτερο είναι να μην προβείτε καθόλου στο self-tracking!!
Παρά τα πιθανά ρίσκα ασφαλείας και ιδιωτικότητας, το κίνημα που στηρίζει την ηλεκτρονική καταγραφή του εαυτού μας συνεχίζει να έχει σημαντική αύξηση και αναμένεται να συνεχίσει την ανάπτυξή του για μερικά χρόνια ακόμη. Για να διασφαλίσει ότι οι χρήστες θα εξακολουθήσουν να απολαμβάνουν αυτή τη δραστηριότητα με ασφάλεια, η Symantec προτείνει να λάβουν ορισμένα βασικά μέτρα για την προστασία τους, με στόχο να θωρακιστούν απέναντι στο ρίσκο έκθεσης των προσωπικών self-tracking πληροφοριών.
- Χρησιμοποιήστε το κλείδωμα οθόνης ή ένα κωδικό για να αποτρέψετε μη εξουσιοδοτημένη πρόσβαση στη συσκευή σας
- Μην χρησιμοποιείτε το ίδιο user name και password σε διαφορετικές ιστοσελίδες
- Χρησιμοποιείτε ‘ισχυρά’ passwords
- Απενεργοποιείστε το Bluetooth όταν δεν το χρειάζεστε
- Να είστε προσεκτικοί όταν ιστοσελίδες και υπηρεσίες σας ζητούν μη αναγκαίες ή υπερβολικές πληροφορίες
- Να είστε προσεκτικοί όταν χρησιμοποιείτε τη δυνατότητα διαμοιρασμού των πληροφοριών αυτών στα social media
- Να αποφεύγετε τη δυνατότητα διαμοιρασμού λεπτομερειών της τοποθεσίας σας στα social media
- Να αποφεύγετε εφαρμογές και υπηρεσίες που δεν εμφανίζουν σε διακριτό σημείο την πολιτική ιδιωτικότητάς τους
- Να διαβάζετε και να κατανοείτε την πολιτική ιδιωτικότητας των εφαρμογών και υπηρεσιών που χρησιμοποιείτε
- Να κάνετε εγκατάσταση των updates σε εφαρμογές και λειτουργικά συστήματα όταν γίνονται διαθέσιμα
- Να χρησιμοποιείτε μία λύση ασφαλείας για τη συσκευή σας
- Να χρησιμοποιείτε πλήρη κρυπτογράφηση της συσκευής εάν είναι διαθέσιμη
Περισσότερες πληροφορίες
Όσοι χρειάζονται περισσότερες πληροφορίες σχετικά με αυτό το θέμα, μπορούν να διαβάσουν το τελευταίο whitepaper με τίτλο: Πόσο ασφαλής είναι η ηλεκτρονική καταγραφή του εαυτού σας;