מכשירים לבישים: שעוני וצמידי כושר מסכנים את הבטיחות והפרטיות
מאת: מערכת Telecom News, 29.5.22, 13:40
 

כל מה שצריך לדעת על האופן בו השעון החכם או צמיד הכושר, שהם גם חלק מ"האינטרנט של הדברים" (IoT) ו"בית חכם", עלולים לסכן את הבטיחות והפרטיות. מהן 4 השיטות הפוגעות בבטיחות ובפרטיות? מהם החסרונות של האקוסיסטם של מכשירים כאלה? מהן נקודות התורפה? מהן העצות הטובות ביותר לנעילת המכשירים?

 
 
שעונים חכמים, צמידי כושר ואביזרים לבישים אחרים הופכים לחלק מהחיים של כולם במהירות רבה, ממש כמו הסמארטפונים והטאבלטים. הגאדג׳טים המחוברים האלה עושים הרבה יותר מלהגיד מה השעה. הם עוקבים אחרי הבריאות, מציגים את המיילים, שולטים בבתים החכמים ואפשר אף להשתמש בחלקם כאמצעי תשלום בחנויות.
 
הם חלק נוסף ממה שנקרא ״האינטרנט של הדברים״ (IoT), שהופך את החיים לבריאים ונוחים יותר, תוך כדי צמצום הזמן שמוקדש למסכי הסמארטפונים, שהגיע לקצת פחות מ-6 שעות עבור כחצי מהאמריקאים בשנה הזו.
 
באופן די צפוי, מדובר בשוק שצפוי לגדול ב-12.5% מדי שנה במהלך השנים הקרובות ולהגיע למכירות של 118 מיליארד דולרים עד 2028. אך כשאביזרים לבישים מתחברים לחיי היום-יום יותר מכל מכשיר אחר, הם גם אוספים כמות גדולה יותר של נתונים ומתחברים למספר הולך וגדל של מערכות חכמות אחרות. כדאי להבין את הסיכונים האפשריים לבטיחות ולפרטיות לפני ש מתחילים להשתמש במכשירים אלה.
 

מהם השיקולים העיקריים בכל הקשור לבטיחות ופרטיות?

לגורמי איום יש מספר דרכים באמצעותן הם יכולים להרוויח כסף ממתקפות על מכשירים חכמים לבישים ועל אקוסיסטם של אפליקציות ותוכנות הקשורות אליהם. הם יכולים ליירט נתונים וסיסמאות ולשנות אותם, ויכולים לשחרר מכשירים, שאבדו או נגנבו מנעילה.
אך מה קורה עם השיתוף הסמוי של הנתונים האישיים עם צדדים שלישיים?
 

גניבת ושינוי נתונים

חלק מהשעונים החכמים, שכוללים פיצ׳רים רבים, מאפשרים גישה מסונכרנת לאפליקציות בסמארטפון, כמו הדוא״ל ואפליקציות המסרים המידיים. זה עלול לאפשר למשתמשים לא-מורשים ליירט מידע אישי רגיש. באותה המידה, קיים חשש, שחלק מהמידע הזה יאוחסן במכשיר הלביש עצמו. אם המכשיר אינו מוגן כמו שצריך, ייתכן שהאקרים ינסו לתקוף אותו. יש שוק שחור משגשג לסחר בסוגים מסוימים של נתונים אישיים ופיננסיים.

איומים מבוססי מיקום
סוג המידע העיקרי הנוסף, שמתועד ע״י מרבית המכשירים הלבישים, הוא המיקום. באמצעות המידע הזה, האקרים יכולים לבנות פרופיל מדויק של התנועה במהלך היום. זה יכול לאפשר להם לתקוף פיזית את לובש המכשיר, או לנסות ולפרוץ לו לרכב או לבית בזמן בו הם יודעים, שככל הנראה הוא לא נמצא בו.

קיים חשש גדול אף יותר לבטיחותם של ילדים המשתמשים במכשירים כאלה, אם הם נמצאים תחת מעקב של גופים חיצוניים לא-מורשים.
 
חברות חיצוניות
המשתמשים צריכים להיזהר מפני סיכונים נוספים, ולא רק מפני סיכוני האבטחה. הנתונים, שהמכשירים אוספים עלולים להיות בעלי ערך רב למפרסמים. הסחר בנתונים כאלה משגשג בשווקים מסוימים, על אף שהנתונים האלה אמורים לעמוד ברגולציות קפדניות באיחוד האירופי הודות לחקיקה שהוצגה ב-2018. דו"ח אחד טען שהרווח ממידע, שנאסף ע״י יצרני מכשירי בריאות ונמכר לחברות ביטוח, יכול להגיע ל-855 מיליון דולרים עד 2023.
 
חלק מהחברות החיצוניות אף עלולות להשתמש בנתונים כדי ליצור פרופילי פרסום של לובשי המכשירים ולמכור את הפרופילים האלה. אם המידע הזה מאוחסן ע״י מספר חברות נוספות לאורך הדרך, הסיכון גדל אף יותר.

שחרור הבית החכם מנעילה
חלק מהמכשירים הלבישים מאפשרים שליטה במכשירי בית חכם. ניתן אף להגדיר אותם כך, שיפתחו את נעילת הדלת הראשית לבית. זה יוצר סיכון אבטחה משמעותי במקרים בהם מכשיר כזה אבד או נגנב וההגדרות להגנה מפני גניבה לא מעודכנות.
 
מהם החסרונות של האקוסיסטם של מכשירים כאלה?
בחברת אבטחת המידע ESET מציינים, שהמכשיר אותו לובשים הוא רק חלק אחד מתמונה גדולה. למעשה, ישנם מספר מרכיבים – החל מהקושחה של המכשיר ועד לפרוטוקולי התקשורת בו הוא משתמש, האפליקציה שלו ושרתי הענן המשמשים את פעולות צד-השרת שלו. כל אלו עלולים להיות יעד למתקפה אם היצרן לא דאג לאבטחה ולפרטיות.

הנה חלק מנקודות התורפה:
 
בלוטות׳: חיבור בלוטות׳ באנרגיה נמוכה (BLE-Bluetooth Low Energy) הוא סוג החיבור המשמש בד"כ לחיבור מכשירים לבישים לטלפונים חכמים. עם זאת, במהלך השנים התגלו פרצות אבטחה רבות בפרוטוקול הזה. הפרצות האלו אפשרו לתוקפים, שקרובים פיזית, לגרום לקריסת המכשירים, לצותת למידע העובר אליו וממנו או לשנות את הנתונים העוברים מצד אחד לשני.

מכשירים: במקרים רבים, התוכנה שעל המכשיר עצמו חשופה למתקפה חיצונית בשל תכנות לקוי. גם השעון הטוב ביותר נבנה ע״י בני אדם, ולכן עלולות להיות בו טעויות קוד. הטעויות האלו עלולות להוביל לפגיעה בפרטיות, לאובדן מידע ועוד.
 
אימות והצפנה חלשים של המכשירים האלה עלולים לחשוף אותם לפריצה ולציתות. הלובשים צריכים להיזהר גם מפני הצצה מעבר לכתף אם הם צופים בהודעות או בנתונים רגישים במכשירים הלבישים שלהם כשהם נמצאים במרחב ציבורי.
 
אפליקציות: האפליקציות בסמארטפון, שמתחברות למכשירים הלבישים, יוצרות אפיק תקיפה נוסף. ייתכן שגם הקוד שלהן נכתב באופן לקוי ומלא בפרצות אבטחה ויאפשר גישה לנתונים והמכשירים של המשתמש. בנוסף, ייתכן שהאפליקציות או אף המשתמשים עצמם לא מתייחסים לנתונים באחריו המתבקשת. כ"כ, קיימת האפשרות שמורידים אפליקציה, שמתחזה לאפליקציה המקורית ונראית כמו האפליקציה הלגיטימית, ומזינים אליה פרטים אישיים.
 
שרתים: כפי שהוזכר, המערכות מבוססות-הענן של הספקים עלולות לאחסן מידע הכולל נתוני מיקום ונתונים נוספים. זו מטרה אטרקטיבית במיוחד לתוקפים המחפשים להרוויח רווח גדול ממתקפה. לא ניתן לעשות הרבה מהבחינה הזאת, מלבד בחירה בספק אמין, שידוע לטובה מבחינת אבטחה.
 
לרוע המזל, רבים מהתרחישים שתוארו למעלה הם לא תיאורטיים. לפני מספר שנים, חוקרי אבטחה מצאו פרצות במגוון גדול של שעונים חכמים לילדים' שחשפו נתוני מיקום ופרטים אישיים. לפני הגילוי הזה, חקירה נפרדת גילתה, שיצרנים רבים שלחו נתונים אישיים באופן בלתי-מוצפן מילדים, aמשתמשים במוצרים לבישים, לשרתים הממוקמים בסין.
 
החששות הללו קיימים גם היום, והמחקרים מראים, שגאדג׳טים כאלה חשופים למניפולציות, שאף עלולות לגרום למצוקה גופנית למשתמש. מחקר אחר טוען, שהאקרים יכולים לשנות סיסמאות, לקיים שיחות, לשלוח הודעות טקסט ולגשת למצלמות דרך מכשירים המיועדים לנטר קשישים וילדים.

העצות הטובות ביותר לנעילת המכשירים
בחברת אבטחת המידע ESET מסבירים, שלמרבה המזל, ישנם כמה דברים שניתן לעשות כדי לצמצם את הסיכונים:
 
הפעלת אימות דו-שלבי,
מסכי נעילה מוגנים בסיסמה,
שינוי הגדרות למניעת חיבור לא-מורשה.
 
הגנו על הסמארטפון באמצעות:
שימוש בחנויות אפליקציות לגיטימיות בלבד,
עדכון כל התוכנות באופן קבוע,
הימנעות מוחלטת מפריצת jailbreak/root בטלפון,
הגבלת ההרשאות לאפליקציות,
התקנת פתרון אנטי-וירוס אמין על הטלפון.
 
הגנו על הבית החכם באמצעות:
הימנעות מוחלטת מסינכרון בין המכשירים הלבישים ובין דלת הבית,
הימנעות מחיבור מכשירים חכמים לרשת האלחוטית של אורחים,
עדכון לגרסת הקושחה האחרונה בכל המכשירים,
שינוי סיסמאות ברירת-המחדל בכל המכשירים.
 
ובאופן כללי:
רכישת מכשירים לבישים מספקים אמינים,
בחינה קפדנית של הגדרות הפרטיות והאבטחה וכדי לוודא, שהן מוגדרות כהלכה.
 
ככל שמכשירים לבישים יהפכו להיות חלק גדול יותר מהחיים, הם יהפכו למטרה גדולה יותר לתוקפים. יש לבצע מחקר לפני שרוכשים מכשיר כזה, ולחסום מספר גדול ככל האפשר של נתיבי תקיפה מיד עם הפעלת המכשיר.