Lỗ hổng bảo mật và quyền riêng tư được phát hiện trên các thiết bị đeo phổ biến


Tại vpnMentor, chúng tôi đã lập một báo cáo để kiểm tra tính bảo mật và quyền riêng tư của ba thiết bị đeo trong lĩnh vực sức khỏe và thể dục.

Digitsole đế ấm, Modius Headband và Nhiệt kế trẻ em Ivy Health là tất cả được tìm thấy để thu thập và tiết lộ thông tin cá nhân, đặt người dùng của họ có quyền riêng tư có nguy cơ. Trong trường hợp Digitsole và Modius, tin tặc đã có thể ghép nối với một thiết bị người dùng và điều khiển nó, cho phép họ gây ra tổn hại về thể chất cho người sử dụng nó.

Chúng tôi mô tả chi tiết về những phát hiện của chúng tôi dưới đây.

Công nghệ đeo được là gì?

Thiết bị điện tử mặc được, viết tắt của công nghệ thiết bị đeo, là những vật dụng thông minh mà bạn mặc. Những tiện ích này có cảm biến thông minh, kết nối web và có thể kết nối không dây với điện thoại của bạn. Các thiết bị đeo phổ biến bao gồm đồng hồ thông minh, máy theo dõi thể dục, kính video và hơn thế nữa.

Mặc dù các thiết bị đeo này hữu ích theo nhiều cách, nhưng chúng kết nối với internet, có nghĩa là họ có thể bị hack.

Cách chúng tôi kiểm tra các thiết bị này

Chúng tôi đã xem xét ba thiết bị đeo được liên quan đến sức khỏe hoặc thể dục theo một cách nào đó. Chúng tôi đã tải xuống các phiên bản mới nhất từ ​​Cửa hàng Google Play trên điện thoại Android 8.0 và chặn và quét lưu lượng Bluetooth và WiFi.

Chúng tôi đã phân loại từng thiết bị trong số 5 về cả bảo mật và quyền riêng tư.

Bảo mật được đo lường bằng cách tin tặc có thể dễ dàng truy cập thông tin người dùng và kiểm soát thiết bị.

Quyền riêng tư được đo lường bằng dữ liệu mà ứng dụng thu thập từ người dùng của nó (có hoặc không có sự cho phép).

Nghiên cứu của chúng tôi thấy rằng cả ba ứng dụng này kết nối qua Bluetooth mà không cần bất kỳ xác thực nào, thu thập vị trí và số nhận dạng cá nhân và sử dụng Facebook hoặc Google Analytics.

Digitsole ấm đếThu thập vị trí, tuổi, chiều cao, giới tính, cân nặng, tốc độ, lượng calo được đốt cháy, các bước thực hiện và thông tin Facebook.Điểm bảo mật cuối cùng: 2/5Điểm riêng tư cuối cùng: 2/5
Modius headbandThu thập vị trí, dấu vân tay, thông tin Facebook và số nhận dạng thiết bị di động duy nhấtĐiểm bảo mật cuối cùng: 4/5Điểm riêng tư cuối cùng: 3/5
Trẻ em sức khỏe IvyThu thập thông tin cá nhân, máy ảnh, trẻ em và phụ huynh, đo nhiệt độ, Google Analytics và số nhận dạng thiết bị di động duy nhất.Điểm bảo mật cuối cùng: 2/5Điểm riêng tư cuối cùng: 2/5

Chi tiết về lỗ hổng công nghệ có thể đeo

Digitsole ấm đế

Những đế này được thiết kế và thiết kế cho những người thích chạy bộ ở vùng khí hậu lạnh. Đế không chỉ làm ấm đôi chân của bạn, mà họ theo dõi người dùng các hoạt động thể chất hàng ngày.

Báo cáo của chúng tôi cho thấy ứng dụng này tiết lộ thông tin cá nhân, bao gồm cả các địa điểm.

Theo chính sách bảo mật của Digitsole, ứng dụng thu thập ít thông tin người dùng và không có thông tin nào được bán hoặc chuyển tiếp cho bên thứ ba. Nó cũng nói rằng có một cách để xóa bất kỳ và tất cả dữ liệu do người dùng thu thập.

Tuy nhiên, chúng tôi nhận thấy rằng ứng dụng truy cập vị trí và bộ nhớ điện thoại của bạn. Chúng tôi cũng nhận thấy rằng ứng dụng thu thập dữ liệu về hồ sơ Facebook và bạn bè của bạn, số bước bạn thực hiện mỗi ngày, số lượng calo bạn đốt cháy, tốc độ, giới tính, cân nặng và chiều cao của bạn.

Ngoài ra, ứng dụng tiếp tục truy cập vị trí điện thoại của bạn miễn là vị trí của bạn được bật và thiết bị đang chạy ẩn, ngay cả khi bạn tắt tính năng theo dõi.

Bằng cách kết nối với Bluetooth, không có xác thực, tin tặc có thể dễ dàng thay đổi nhiệt độ của đế, đôi khi tăng nhiệt lên 113 ° F (45 ° C). Họ cũng có thể thu thập thông tin người dùng đã làm và không cung cấp.

Dữ liệu được cung cấp trực tiếp bởi người dùng khi đăng ký vào Digitsole:Dữ liệu không được cung cấp trực tiếp bởi người dùng:
  • Tuổi tác
  • Vị trí có dấu thời gian
  • Chiều cao
  • Hồ sơ Facebook và bạn bè
  • Cân nặng
  • Calo bị đốt cháy
  • Giới tính
  • Tốc độ
  • Các bước thực hiện

Dữ liệu đăng ký được gửi đến các máy chủ Digitsole. Tuy nhiên, dữ liệu thời gian thực được gửi đến các máy chủ theo một khoảng thời gian cố định cứ sau vài giây. Tất cả dữ liệu được gửi qua HTTPS được kết nối được mã hóa.

Ứng dụng Digitsople thu thập dữ liệu Facebook

Modius headband

Thiết bị giảm cân có thể đeo này được phát hiện có lỗ hổng liên quan đến thông tin của người dùng.

Modius Headband là được thiết kế để thay đổi trọng lượng cơ thể và sự thèm ăn của người dùng bằng cách gửi tín hiệu điện đến não.

Chúng tôi đã thử nghiệm phiên bản 1.6.0 của ứng dụng Modius bụng Android và thấy rằng nó thu thập cả quyền truy cập vị trí và vân tay.

Nó chắc chắn là công nghệ tiên tiến; tuy nhiên, vì nó kết nối với Bluetooth (không được xác thực) tin tặc đã có thể có được thông tin chi tiết về cơ thể người dùng, bao gồm chiều dài eo, tỷ lệ mỡ cơ thể và thậm chí cả dấu vân tay.

Các tin tặc thâm nhập cũng có thể tìm ra vị trí của từng người dùng và khi đủ gần về mặt vật lý là có khả năng điều khiển thiết bị. Điều này có nghĩa là họ có thể bắt đầu hoặc dừng quét đầu và thay đổi dòng điện đến mức cao nhất, gây buồn nôn và bệnh nói chung.

Mặc dù điều này là nguy hiểm, chúng tôi không tìm thấy bất kỳ tiếp xúc nào với thông tin cá nhân của người dùng.

Tuy nhiên, chúng tôi đã có thể theo dõi như sau:

  • Vị trí
  • Vân tay
  • Theo dõi Facebook
  • Cân nặng
  • Chiều cao
  • Vòng eo
  • Tỷ lệ phần trăm mỡ cơ thể
  • Lịch sử sử dụng thiết bị Modius
  • Dữ liệu cá nhân, Ngày sinh, Tên và địa chỉ email.

Ứng dụng Modius sắp tích hợp với Facebook và yêu cầu truy cập vị trí. 

Tất cả dữ liệu cá nhân được gửi đến máy chủ Modius, sau khi đăng ký, trong khi tất cả dữ liệu còn lại được gửi bất cứ khi nào ứng dụng được sử dụng theo định kỳ. Chúng tôi cũng thấy rằng tất cả dữ liệu được gửi qua kênh được mã hóa bằng HTTPS.

Nhiệt kế trẻ em Ivy Health

Nhiệt kế cánh tay thông minh và di động này dành cho trẻ sơ sinh và trẻ nhỏ và kết nối qua Bluetooth với ứng dụng thiết bị di động điều khiển nó. Thiết bị hữu ích này cho phép bạn theo dõi nhiệt độ bé của bạn tại mọi thời điểm và báo cáo kết quả tìm kiếm cho điện thoại của bạn qua Bluetooth.

Mặc dù thiệt hại vật lý không thể được thực hiện, chúng tôi thấy rằng nó phơi bày thông tin cá nhân.

Trong số ba thiết bị đeo được thử nghiệm, lượng thông tin được thu thập bởi Ivy Health Kids là cao nhất.

Chúng tôi đã thử nghiệm phiên bản 1.0, yêu cầu rất nhiều quyền bao gồm quyền truy cập đọc và ghi vào bộ nhớ ngoài, máy ảnh, vị trí và hơn thế nữa.

Danh sách các quyền của IvyHealth

Tin tặc đã có thể truy cập vào tên trẻ em, ngày sinh, giới tính và nhiều hơn nữa từ những người sử dụng thiết bị để theo dõi nhiệt độ. Những kẻ tấn công cũng tìm thấy thông tin liên quan đến mối quan hệ của từng gia đình trẻ con. Thông tin này có khả năng có thể phơi bày toàn bộ cấu trúc, mối quan hệ của gia đình, và dĩ nhiên, nhiệt độ của chúng. và lịch sử đo nhiệt độ của họ.

Có lẽ điều đáng quan tâm nhất là thực tế là API API và cổng thông tin ứng dụng được cung cấp qua HTTP không an toàn. Lỗ hổng này khiến người dùng và mật khẩu của người dùng gặp rủi ro.

Với những lỗ hổng bảo mật này, nó không có gì lạ khi tính bảo mật của thiết bị đeo vẫn còn nhiều nghi vấn và thậm chí các thiết bị đơn giản cũng có thể bị xâm phạm. Đức đã cấm trẻ em smartwatch vào năm ngoái và Trung Quốc đã cấm sử dụng smartwatch trong quân đội vài năm trước.

Nhưng nguy cơ gia tăng xung quanh thiết bị đeo không ngừng tăng lên. Thị trường thiết bị đeo tay tổng thể dự kiến ​​sẽ tăng từ 113,2 triệu lô hàng trong năm 2017 lên 222,3 triệu vào năm 2021 với tốc độ tăng trưởng kép hàng năm (CAGR) là 18,4%, theo Công cụ theo dõi thiết bị đeo được hàng quý trên toàn thế giới của Tập đoàn Dữ liệu Quốc tế (IDC).

Bây giờ là lúc để suy nghĩ lại cách tiếp cận của chúng tôi đối với bảo mật và quyền riêng tư khi nói đến thiết bị đeo?

Nhấn vào đây để xem báo cáo đầy đủ chứa nhiều chi tiết liên quan đến bảng xếp hạng bảo mật và quyền riêng tư của từng thiết bị.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me