Эксперты «Лаборатории Касперского» выяснили, какие возможности открывает анализ сигнала носимых устройств для потенциальных злоумышленников. Например, получив доступ к умным часам, киберпреступники могут собрать сигналы встроенных в них сенсоров, изучить их и впоследствии получить набор уникальных данных о владельце.
Они позволяют сформировать поведенческий профиль человека и зафиксировать моменты ввода критически важных данных: определить, когда он приходит на работу, вводит пароль доступа от корпоративного компьютера, разблокирует телефон. Сопоставив данные о перемещении пользователя с координатами, можно также определить моменты посещения банка и ввода ПИН-кода на клавиатуре банкомата.
В повседневной жизни многие регулярно пользуются умными часами и фитнес-трекерами. В большинство этих гаджетов встроены датчики ускорения (акселерометры), вращения (гироскопы) и даже магнитного поля (магнитометры). Записывая сигналы с этих сенсоров, злоумышленники могут получить доступ к личной информации пользователя.
Вероятный сценарий использования носимых устройств злоумышленниками связан с загрузкой на умные часы приложения (например, фитнес-трекера), которое может отправлять на серверы киберпреступников пакеты данных. Для более точного профилирования жертвы достаточно всего один раз отправить геопозицию владельца IoT-устройства или запросить разрешение на получение адреса его электронной почты, после чего уникальные сведения о поведении пользователя и его конфиденциальная информация потенциально становится лёгкой добычей.
При этом стоит отметить, что приложения, допускающие передачу данных акселерометров и гироскопов третьим лицам, на данный момент считаются легитимными с точки зрения магазинов приложений. «Лаборатория Касперского» рекомендует владельцам смарт-часов обращать внимание на следующие признаки того, что их данные могут находиться под угрозой, и соблюдать определенные правила безопасности.
Если приложение отправляет запрос на получение данных об аккаунте пользователя (разрешение GET_ACCOUNTS в Android), это может означать, что злоумышленник пытается сопоставить «цифровой отпечаток» с его владельцем.
Если приложение дополнительно запрашивает разрешение на отправку геолокационных данных – это повод насторожиться, не стоит выдавать фитнес-трекерам, загружаемым на умные часы, лишних разрешений, а также не рекомендуется указывать корпоративные электронные адреса при регистрации.
Если исправное носимое устройство держит заряд вместо суток всего несколько часов, не исключено, что сигналы встроенных в него сенсоров передаются на серверы киберпреступников.