RIZIČNA TEHNOLOGIJA

Samopratite li se? Nije sigurno, kažu u Symantecu

11.08.2014 u 07:33

Bionic
Reading

Milijuni ljudi po cijelom svijetu svakog dana aktivno bilježe svaki aspekt svog života, misli, iskustava i postignuća u aktivnosti nazvanoj samopraćenje (poznatoj i kao 'kvantificirano ja', 'životni dnevnik' ili 'osobne brojke'). Koliko je to sigurno?

Za samopraćenje se koriste brojne naprave, poput pametnih telefona elektroničkih narukvica, pametnih satova, privjesaka ili pametne odjeće. Obično imaju senzore, procesor, memoriju i komunikacijsko sučelje, a omogućavaju prikupljanje, pohranu i slanje podataka o vlasnikovim aktivnostima (sportskim, prehrambenim i inim) drugom računalu na obradu i analizu.

U Symantecu su pronašli sigurnosne rizike u velikom broju uređaja i aplikacija za samopraćenje. Kako bi ih otkrili, napravili su prenosive skenere za Bluetooth temeljene na mikroračunalima Raspberry Pi i komponenti koje su uključivale adapter za Bluetooth 4.0, baterije i SD karticu. Kombinirane su sa softverom otvorenog koda i posebno napisanim skriptama. Niti jedan uređaj nije koštao više od 75 dolara (oko 415 kuna), a može ga lako sastaviti svatko tko ima osnovne IT vještine.

Skenerima su pratili razna prometna javna mjesta u Irskoj i Švicarskoj. Hodali su s njima i, tijekom jednog sportskog događanja, postavljali u statične položaje. Uređaji su radili pasivno, skenirajući radiospektar u potrazi za signalima, ne pokušavajući uspostaviti vezu s otkrivenim uređajima.


Sve uređaje na koje su naišli (pa tako i njihove vlasnike) mogli su pratiti korištenjem jedinstvene hardverske adrese koju emitiraju. Proizvođači tih uređaja, zaključili su, nisu ozbiljno uzeli u obzir mogućnost praćenja, a time i zadiranja u privatnost vlasnika, što bi mogli zlorabiti lopovi, nasilnici i drugi zlonamjernici.

Neprihvatljivo veliki dio aplikacija i servisa za samopraćenje, otkrili su dalje u Symantecu, šalje korisničke podatke ni ne pokušavajući ih zaštititi (recimo, enkripcijom), zbog čega ih je lako presresti.

To posebno zabrinjava kad se zna da veliki broj ljudi ima naviku korištenja istih podataka za prijavu na više web odredišta, zbog čega ih se može iskoristiti za pristup osjetljivijim servisima kao što je elektronička pošta ili računi za online kupovinu.

Većina aplikacija koje su u Symantecu ispitali nije imala ni pravila o zaštiti privatnosti. Otkrili su također kako aplikacije, u prosjeku, kontaktiraju pet različitih domena. U najgorem slučaju jedna je aplikacija kontaktirala 14 različitih domena u kratkom razdoblju dok se izvršavala, a više njih kontaktiralo je deset ili više različitih domena u razne svrhe. To povećava mogućnost nenamjernog curenja podataka.

Iz Symanteca upozoravaju i na loše upravljanje sesijama, što također može dovesti do curenja podataka, ali i vandalizma i drugih problema.


Kako se zaštititi?

Sudeći po otkrivenim propustima i problemima, najbolje bi bilo ne baviti se samopraćenjem uopće. No, kako je malo vjerojatno da ćete odustati od praćenja svojih sportskih postignuća, količine popijene vode dnevno ili ritma seksualnih aktivnosti, evo što vam u Symantecu preporučuju kao mjere zaštite:

• koristite zaključavanje ekrana ili lozinku da bi spriječili neautorizirani pristup vašem uređaju
• ne koristite isto korisničko ime i lozinku na različitim siteovima
• koristite jake lozinke
• isključite Bluetooth kad vam ne treba
• budite oprezni sa siteovima i servisima koji traže nepotrebne informacije ili previše informacija
• pripazite kad koristite dijeljenje po društvenim mrežama
• ne dijelite podatke o lokaciji na društvenim mrežama
• izbjegavajte aplikacije i servise koji nemaju istaknuta pravila o zaštiti privatnosti
• pročitajte s razumijevanjem pravila o zaštiti privatnosti u aplikacijama i na servisima
• obnavljajte aplikacije i operativni sustav kad su obnove dostupne
• koristite sigurnosna rješenja za uređaje kad su dostupna
• koristite punu enkripciju uređaja ako je dostupna

Cijelo Symantecovo istraživanje preuzmite ovdje: How safe is your quantified self