I fitness tracker sono diventati molto popolari: ci aiutano a rimanere in forma e a gestire calorie ed esercizio fisico. Tuttavia questi dispostivi processano anche dati personali molto importanti relativi a chi li indossa ed è fondamentale tutelarne la sicurezza. Roman Unuchek, ricercatore di Kaspersky Lab, ha preso in esame l’interazione tra alcuni bracciali fitness e lo smartphone e la sua ricerca ha prodotto risultati sorprendenti.
Secondo quanto emerso dalla sua indagine, il metodo di autenticazione implementato in parecchi braccialetti molto popolari permette ad un terzo soggetto di connettersi al dispositivo senza essere visto, eseguire comandi e – in alcuni casi – estrarre dati. Nei dispositivi analizzati dal ricercatore di Kaspersky Lab, si trattava di dati relativi al numero di passi fatti dal proprietario nell’ora precedente. Tuttavia nell’immediato futuro, quando verranno immessi sul mercato fitness band di ultima generazione capaci di raccogliere una quantità maggiore di dati e una più ampia varietà, il rischio che dati medici sensibili relativi al proprietario trapelino aumenterà in modo significativo.
Una connessione indesiderata diventa possibile a causa del modo in cui il braccialetto viene “accoppiato” allo smartphone. Secondo questo studio, un dispositivo con sistema operativo Android 4.3 e successivi, può essere abbinato a braccialetti di alcuni vendor mediante una app speciale non autorizzata. Per far partire la connessione gli utenti devono confermare l’abbinamento premendo un tasto sul loro braccialetto. Gli aggressori possono facilmente superare questo ostacolo poiché molti braccialetti fitness presenti sul mercato non hanno uno schermo. Quando il braccialetto vibra e chiede conferma all’utente dell’avvenuto abbinamento, la vittima non ha modo di sapere se sta dando conferma al proprio dispositivo o a quello di qualcun altro.
“La riuscita della verifica della sicurezza di questi dispositivi dipende da molti fattori e non dimostra che attualmente i criminali siano in grado di raccogliere dati veramente critici come password o numero della carta di credito. Tuttavia questa è la prova del fatto che l’aggressore può approfittare di qualche errore non corretto lasciato dagli sviluppatori all’interno del dispositivo. I fitness tracker al momento in commercio sono ancora abbastanza semplici: sono capaci di contare i passi e monitorare i cicli del sonno o poco più. Ma la seconda generazione di questi dispositivi è ormai vicina e saranno in grado di raccogliere molte più informazioni relative agli utenti. Quindi è importante pensare alla sicurezza e assicurarsi che abbiano una protezione adatta al modo in cui il tracker interagirà con lo smartphone” – ha detto Roman Unuchek, Senior Malware Analyst di Kaspersky Lab.
