Недавно мы встретили сообщение, что носимые устройства типа smartwatch могут передавать данные, полученные от встроенных датчиков движения (например, акселерометра и гироскопа), на удаленный сервер, а затем на основе этих данных можно распознать действия пользователя – ходит, сидит, пишет и т.д.
Насколько велика эта угроза в практике и какие данные можно получить с помощью smartwatch? Мы решили это выяснить.
Восстановить пароль по движениям smartwatch
В начале мы решили проверить smartwatch с Android. Мы установили простое приложение, предназначенное для обработки и передачи данных с акселерометра, а затем проанализировали, что можно получить с его помощью.
Оказалось, что эти данные действительно можно использовать, чтобы установить, ходит или сидит пользователь. Более того, изучив тему глубже, можно узнать, вышел человек на прогулку или передвигается на каком-то транспорте – данные акселерометра немного отличаются. Например, довольно легко можно отличить ходьбу от катания на велосипеде.
Кроме того, легко можно понять, когда кто-то пишет на компьютере. Но сделать вывод, что пишется, гораздо сложнее, потому что каждый имеет свой собственный способ написания. Одна фраза, написанная разными людьми создает различные графики акселерометра, а один человек, вводящий пароль несколько раз подряд создает очень похожие графики.
Впрочем, натренированная нейронная сеть вполне способна прочитать, что написано. А если эта нейронная сеть будет обучена для распознавания именно вашего способа написания, данные с акселерометра smartwatch на вашем запястье могут быть использованы для распознавания пароля на основе движений вашей руки.
Но для того, чтобы процесс обучения был эффективным, нейронная сеть должна отслеживать движения в течение довольно длительного времени. Процессоры, размещаемые в современных мобильных гаджетах не являются достаточно мощными, чтобы непосредственно на них могла работать нейронная сеть, поэтому данные должны быть отправлены на сервер.
И здесь появляется проблема для потенциального шпиона: постоянная передача показаний акселерометра потребляет много трафика и расходует заряд аккумулятора smartwatch за несколько часов (а, точнее говоря, – 6 в нашем случае). Оба этих изменения быстро вызовут подозрения у владельца. Однако, эти признаки можно легко свести к минимуму путём выборочного сбора данных, например, когда наблюдаемый человек прибывает на работу, где, несомненно, будет вводить пароль.
Короче говоря, ваш smartwatch может быть использован для идентификации того, что вы вводите. Но это сложная задача, а точное предсказание требует повторного ввода. В нашем эксперименте мы смогли угадать пароль на компьютере с 96% точностью, а PIN-код банковской карты с точностью 87%.
Безопасность smartwatch – могло быть и хуже
Однако, для киберпреступников такие сведения могут быть бесполезны. Чтобы их использовать, нужен доступе к компьютеру или кредитной карте. Узнать номер кредитной карты или CVC код гораздо сложнее.
Почему? После возвращения к месту работы, первое, что вписывает владелец smartwatch, почти наверняка пароль, используемый для разблокировки компьютера. График акселерометр покажет сначала хождение, а потом ввод текста. На основе данных, полученных за столь короткое время, можно потенциально угадать пароль.
Но этот человек не будет вводить номер кредитной карты, пока не сядет или встанет и уйдет сразу же после введения этих данных. Более того, никто не будет вводить такую информацию несколько раз в течение короткого промежутка времени.
Таким образом, чтобы украсть вводимую с помощью smartwatch информацию, злоумышленнику требуется понятная активность пользователя и многократный ввод данных. Кстати, именно поэтому не стоит использовать один и тот же пароль для различных сервисов.
Стоит ли беспокоиться владельцам smartwatch
Как показали исследования, данные с датчика акселерометра smartwatch могут быть использованы для кражи информации о человеке, который носит устройство: его движениях, привычках, некоторой вводимой информации (например, пароль к ноутбуку).
Заражение smartwatch вредоносной программой может позволить злоумышленникам получить эти сведения в достаточно простой форме. Нужно только написать приложение (например модные часы или программа отслеживания фитнес-активности), добавить к нему функцию считывания данных акселерометра, а затем разместить в магазине Google Play. Теоретически, такое приложение не будет признано, как вредоносное программное обеспечение, так как способ его действия не имеет в себе ничего вредного.
Нужно ли беспокоиться о том, что кто-то может за нами шпионить? Только в том случае, если этот кто-то действительно имеет к тому основания. Обычные мошенники предпочитают более легкие пути.
Однако, если пароль к вашему компьютеру или информация о пути на работу являются для кого-то ценными, smartwatch может стать инструментом для отслеживания.
В таком случае, чтобы защитить себя, соблюдайте следующие правила:
- Обратите внимание, чтобы smartwatch не потреблял много данных и чтобы аккумулятор не разряжался слишком быстро: обратная ситуация – признак заражения.
- Не предоставляйте приложениями слишком много разрешений. Особенно остерегайтесь таких, которые хотят получить информацию об учетной записи и географические координаты.
- Установите приложение для защиты вашего смартфона, которое будет обнаруживать шпионские программы, прежде чем они начнут свою деятельность.
