Почему не стоит экономить на умных часах

Недавное исследование бюджетных смарт-часов и фитнес-трекеров показало, что они небезопасны с точки зрения хранения личных данных владельца. Насколько это справедливо и можно ли обезопасить себя от утечки конфиденциальной информации с подобных гаджетов, «Московская правда» узнала у экспертов.

Фото wavebreakmedia_micro / Freepik

Сейчас маркетплейсы предлагают десятки бюджетных смарт-часов и фитнес-трекеров по цене около 1,5 тысячи рублей. Понятно, что модели, которые на первый взгляд ничем не отличаются от дорогостоящих, пользуются большим спросом. Но не зря ведь говорят, что скупой платит дважды…

Тестирование продающихся в интернете дешевых смарт-часов и фитнес-трекеров, многие из которых являются репликами таких популярных брендов, как Apple, Samsung или Fitbit, проведенного экспертами по кибербезопасности британской потребительской организации «Which?», выявило в исследованных гаджетах ряд проблем. О результатах исследования сообщили в Роскачестве.

Так, эксперты выявили в 12 проверенных гаджетах четыре главных недостатка: чрезмерный сбор данных; небезопасное хранение данных; отсутствие возможности отказаться от сбора данных и отсутствие функции блокировки.

Восемь из протестированных часов отслеживают точные координаты владельца. Это:

– Briame D20 Pro Smartwatch Y68;

– Briame M6;

– ID115 Plus Sports Fitness Tracker Watch Heart Rate Blood Pleasure Activity Monitor Fit-Bit;

– IWO 14 Pro Series 7;

– For Fit-Bit Fitness Smart Watch Band Sport Activity Tracker Adult Kid Fitbit Step Counter;

– Cobrafly P8;

– Chuyong 2022 New Women Bluetooth Call Smart Watch Heart Rate Blood Pressure Monitoring Smartwatches IP67 Waterproof Men Smartwatch;

– Aswee PUO1.

При этом смарт-часы IWO Pro Series 7 в ходе исследования запросили точные данные о местоположении более 250 раз за 5 минут. Модели Aswee PUO1, Colmi P6 и Lige New Smartwatch требуют разрешения на определение местоположения, чтобы быть всегда включенными. А если не разрешить часам собирать личную информацию, приложение просто не будет работать.

Приложения гаджетов IWO и Aswee не шифруют данные при отправке их на внутренние сервисы и при получении от них. Таким образом, если хакер перехватит эти данные, он сможет их прочитать.

Кроме того, ни одно устройство не запрашивало ПИН-код после длительного бездействия. То есть, если вы потеряете часы или их похитят, новый владелец получит полный доступ к вашим данным.

В общем, получается, что злоумышленники могут при желании без проблем получить конфиденциальную информацию о владельцах подобных гаджетов. При этом, если вы уже используете их, вариантов обезопасить свои данные практически нет, рассказал «Московской правде» руководитель отдела IT-разработки компании «Pазвитиум» Сергей Цветков.

– Проблема безопасности данных в компактных носимых устройствах была всегда, просто раньше ей не придавали значения, – отметил эксперт. – Причины тому разные. С технической точки зрения инженерам не всегда хочется встраивать средства идентификации пользователя, такие как сканер отпечатка пальцев или 3D-сканер лица. Добавить столь громоздкие модули и при этом сохранить мобильность устройства – задача не из легких. С экономической точки зрения всё еще более объяснимо: модули идентификации стоят денег, их надо покупать на стороне. А чем устройство дешевле, тем больше у него потенциальных покупателей.

По мнению Сергея Цветкова, ситуация усложняется еще и тем, что потребители, как правило, выбирая между двумя устройствами, на безопасность данных смотрят в последнюю очередь. А ведь это существенное упущение. Тем более если гаджетом пользуется ребенок.

Руководитель вирусной лаборатории «Доктор Веб» Игорь Здобнов рассказал, что чуть больше года назад компания провела исследование детских смарт-часов и тоже выявила в них уязвимости с точки зрения кибербезопасности.

– Собираемые в процессе работы смарт-часов данные обычно передаются на серверы производителей и доступны родителям через персональные учетные записи. При этом информация, которую можно получить с помощью умных часов, является очень чувствительной. Если она попадет в руки злоумышленников, детям и не только может угрожать серьезная опасность, – предупредил эксперт.

Среди основных выявленных проблем эксперт назвал стандартный пароль управления через СМС – 123456; передачу данных в незашифрованном виде и незащищенный протокол HTTP для передачи фото. Также в одной из моделей был обнаружен вредоносный код.

– Проведенный нами анализ показал, что в целом безопасность детских смарт-часов находится на весьма неудовлетворительном уровне. Исследование затронуло несколько моделей, однако в целом проблема этих устройств заключается в том, что на разных моделях могут использоваться схожие прошивки и ПО. Например, прошивки, аналогичные той, что установлены в часах Wokka Lokka Q50, применяются в большом количестве других моделей смарт-часов различных брендов, а также во всевозможных GPS-трекерах. Кроме того, для них задан стандартный пароль управления через СМС. Следовательно, их пользователи подвержены тем же рискам, что и владельцы часов Wokka Lokka Q50, – уточнил Игорь Здобнов. – При этом на рынке постоянно появляются новые модели, и нет гарантии, что и в них не будет каких-либо уязвимостей. А обнаружение предустановленного на смарт-часы Elari Kidphone 4G трояна наглядно демонстрирует, какая опасность может скрываться в устройствах такого типа, работающих под управлением ОС Android. Прошивки для них часто создаются сторонними фирмами, и производители редко проверяют их безопасность и целостность. Следовательно, велика вероятность того, что на одном из этапов производства Android-часов злоумышленники внедрят в них троянское или рекламное ПО. Схожие проблемы, вполне вероятно, могут быть и в обычных смарт-часах и фитнес-трекерах.

Эксперт рекомендует при использовании гаджетов соблюдать хотя бы элементарные правила безопасности: сразу после покупки установить новый пароль, а также не передавать с помощью смарт-часов персональные и другие чувствительные данные, такие как пароли, фотографии документов, СМС-сообщения с важной информаций, личные фотографии и тому подобное.

Но, даже соблюдая эти правила, вы не обезопасите себя полностью, считает аналитик группы оперативного мониторинга Angara SOC Татьяна Лынова.

– Доступность информации, обрабатываемой смарт-часами и фитнес-трекерами, третьим лицам, может помочь потенциальным злоумышленникам пополнить популярные на теневом рынке базы данных о пользователях, – объясняет эксперт. – Например, непрерывно отслеживая геопозицию пользователя, киберпреступник получает возможность определить адрес дома и работы человека, часто посещаемые места. На основе полученных данных возможно организовать, например, действенную фишинговую атаку (смс- или почтовую рассылку).

Между тем, по мнению Татьяны Лыновой, предварительно оценить гаджет с точки зрения безопасности для личных данных пользователя все-таки возможно.

– В первую очередь следует помнить, что оба устройства с помощью того или иного приложения получают доступ к смартфону пользователя, а значит, к хранящимся/обрабатываемым на нем данным (контакты, медиаконтент, учетные записи, звонки, сообщения и т. д.) и функционалу (камера, микрофон, геолокация). Если производитель умных часов является сомнительным, отношение к устанавливаемому программному обеспечению должно быть соответствующим – настороженным. Следует обращать внимание, например, на источник установки (официальный магазин приложений или сторонний источник), разработчика (репутация, популярность), запрашиваемые разрешения, политику конфиденциальности. Также бывает полезно ознакомиться с отзывами (начав с негативных), так как даже популярные в официальных маркетплейсах приложения грешат «накрученными» скачиваниями и положительными рецензиями.

Дополнительными факторами риска с точки зрения информационной безопасности являются наличие в гаджетах микрофона, камеры, слота под  SIM-карту и другого функционала. Поэтому, выбирая часы или фитнес-трекер, нужно обязательно обращать внимание не только на их функции, но и на то, как будут защищены ваши данные. И чем дешевле смарт-часы, тем меньше вероятность того, что ваша приватность будет сохранена на должном уровне.

Алёна Бодриенко.

Фото wavebreakmedia_micro / Freepik

2 Comments
  1. Дома есть умные часы у ребенка, они как раз из недорогого сегмента. Пользуемся ими крайне редко – с улицы домой позвать. Теперь есть повод задуматься и перепроверить…

Добавить комментарий