נחשפו בעיות אבטחה בצמידי הכושר
מאת:
מערכת Telecom News, 29.3.14, 22:58
נבחנו הדרכים כיצד צמידי כושר מתקשרים עם סמארטפונים ונחשפו תוצאות די מפתיעות.
צמידי כושר הפכו פופולריים מאוד בשנים האחרונות, כשמטרתם העיקרית היא לסייע למשתמשים לנהל את הפעילות הפיזית שלהם ואת שריפת הקלוריות. עם זאת, מכשירים כאלה גם מעבדים מידע אישי רגיש של בעליהם, וחשוב לשמור עליהם מאובטחים. חוקר מעבדת קספרסקי,
רומן יונוצ'ק, בחן כיצד מספר צמידי כושר פופולריים מתקשרים עם סמארטפונים וחשף תוצאות מפתיעות.
עפ"י תוצאות המבדקים שערך, שיטת האימות המוטמעת במספר צמידי כושר פופולריים מאפשרת לצד ג' להתחבר באופן בלתי נראה אל מכשיר, להפעיל פקודות, ובמקרים מסוימים גם לחלץ את המידע המאוחסן במכשיר. במכשירים, שנבדקו ע"י החוקר, מידע זה היה מוגבל אך ורק למספר הצעדים, שנעשו ע"י בעל המכשיר במהלך השעה האחרונה. עם זאת, בעתיד הלא רחוק, צמידי הכושר של הדור הבא יהיו מסוגלים לאסוף היקף ומגוון רחבים בהרבה של נתונים. כתוצאה מכך, הסיכון לאובדן מידע רפואי של בעל המכשיר עלול לעלות באופן משמעותי.
החיבור בין הצמיד לסמארטפון מתאפשרת באמצעות
pairing. עפ"י החוקר, מכשיר אנדרואיד המריץ גרסת אנדרואיד 4.3 ומעלה, בו מותקנת אפליקציה מיוחדת ובלתי מורשית, יכול להתחבר ולתקשר עם הצמיד של מספר ספקים. כדי לבסס קישוריות, המשתמש צריך לאשר את החיבור באמצעות לחיצה על כפתור בצמיד. אך כאשר הצמיד רוטט ומבקש מהבעלים לאשר את החיבור, למשתמש אין דרך לדעת האם הוא מאמת חיבור עם המכשיר שלו או של מישהו אחר. בדו"ח, שפרסם החוקר, הוא חושף כי הצליח להתחבר ל-54 מכשירים, במקרים מסוימים ללא ידיעת בעליהם.
רומן יונוצ'ק, אנליסט קוד זדוני בכיר, מעבדת קספרסקי: "הוכחת היתכנות זו מסתמכת על תנאים רבים, שיתקיימו כדי שתעבוד כראוי, ובסופו של דבר, התוקף לא יכול לאסוף נתונים חיוניים באמת כגון סיסמאות או מספרי אשראי. עם זאת, היא מספקת דרך לתוקף לנצל טעויות, שנותרו ללא תיקון מצד מפתחי המכשיר.
צמידי הכושר הזמינים כיום בשוק הם עדיין די טיפשים, ומסוגלים לספור צעדים ולעקוב אחר מחזורי שינה, אבל לא הרבה יותר מכך. אבל הדור השני של מכשירים אלה כמעט כאן, והם יוכלו לאסוף מידע רב בהרבה אודות המשתמשים. צריך לחשוב על אבטחת המכשירים האלה כעת ולהבטיח כי ישנה הגנה מספקת על הדרך שבה הצמיד מתקשר עם הסמארטפון.
אני ממליץ למשתמשים של צמידים חכמים, שמודאגים לגבי אבטחת המכשיר שלהם, לבדוק עם ספק הצמיד האם קיימת אפשרות לערוץ תקיפה כזה במכשיר שלהם".
התפלגות הצמידים הבלתי מאובטחים, insecurable wearables, כאלה שנבדקו במחקר:
