Назад » » 2018 » Июнь » 20

Возможно ли шпионить за пользователями с помощью smartwatch

Недавно мы встретили сообщение, что носимые устройства типа smartwatch могут передавать данные, полученные от встроенных датчиков движения (например, акселерометра и гироскопа), на удаленный сервер, а затем на основе этих данных можно распознать действия пользователя – ходит, сидит, пишет и т.д.

Smartwatch – отличный инструмент для тотальной слежки за пользователями

Насколько велика эта угроза в практике и какие данные можно получить с помощью smartwatch? Мы решили это выяснить.

Восстановить пароль по движениям smartwatch

В начале мы решили проверить smartwatch с Android. Мы установили простое приложение, предназначенное для обработки и передачи данных с акселерометра, а затем проанализировали, что можно получить с его помощью.

Оказалось, что эти данные действительно можно использовать, чтобы установить, ходит или сидит пользователь. Более того, изучив тему глубже, можно узнать, вышел человек на прогулку или передвигается на каком-то транспорте – данные акселерометра немного отличаются. Например, довольно легко можно отличить ходьбу от катания на велосипеде.

Кроме того, легко можно понять, когда кто-то пишет на компьютере. Но сделать вывод, что пишется, гораздо сложнее, потому что каждый имеет свой собственный способ написания. Одна фраза, написанная разными людьми создает различные графики акселерометра, а один человек, вводящий пароль несколько раз подряд создает очень похожие графики.

Впрочем, натренированная нейронная сеть вполне способна прочитать, что написано. А если эта нейронная сеть будет обучена для распознавания именно вашего способа написания, данные с акселерометра smartwatch на вашем запястье могут быть использованы для распознавания пароля на основе движений вашей руки.

Но для того, чтобы процесс обучения был эффективным, нейронная сеть должна отслеживать движения в течение довольно длительного времени. Процессоры, размещаемые в современных мобильных гаджетах не являются достаточно мощными, чтобы непосредственно на них могла работать нейронная сеть, поэтому данные должны быть отправлены на сервер.

И здесь появляется проблема для потенциального шпиона: постоянная передача показаний акселерометра потребляет много трафика и расходует заряд аккумулятора smartwatch за несколько часов (а, точнее говоря, – 6 в нашем случае). Оба этих изменения быстро вызовут подозрения у владельца. Однако, эти признаки можно легко свести к минимуму путём выборочного сбора данных, например, когда наблюдаемый человек прибывает на работу, где, несомненно, будет вводить пароль.

Чем отличаются смарт-часы и смарт-браслет

Короче говоря, ваш smartwatch может быть использован для идентификации того, что вы вводите. Но это сложная задача, а точное предсказание требует повторного ввода. В нашем эксперименте мы смогли угадать пароль на компьютере с 96% точностью, а PIN-код банковской карты с точностью 87%.

Безопасность smartwatch – могло быть и хуже

Однако, для киберпреступников такие сведения могут быть бесполезны. Чтобы их использовать, нужен доступе к компьютеру или кредитной карте. Узнать номер кредитной карты или CVC код гораздо сложнее.

Почему? После возвращения к месту работы, первое, что вписывает владелец smartwatch, почти наверняка пароль, используемый для разблокировки компьютера. График акселерометр покажет сначала хождение, а потом ввод текста. На основе данных, полученных за столь короткое время, можно потенциально угадать пароль.

Но этот человек не будет вводить номер кредитной карты, пока не сядет или встанет и уйдет сразу же после введения этих данных. Более того, никто не будет вводить такую информацию несколько раз в течение короткого промежутка времени.

Таким образом, чтобы украсть вводимую с помощью smartwatch информацию, злоумышленнику требуется понятная активность пользователя и многократный ввод данных. Кстати, именно поэтому не стоит использовать один и тот же пароль для различных сервисов.

Стоит ли беспокоиться владельцам smartwatch

Как показали исследования, данные с датчика акселерометра smartwatch могут быть использованы для кражи информации о человеке, который носит устройство: его движениях, привычках, некоторой вводимой информации (например, пароль к ноутбуку).

Заражение smartwatch вредоносной программой может позволить злоумышленникам получить эти сведения в достаточно простой форме. Нужно только написать приложение (например модные часы или программа отслеживания фитнес-активности), добавить к нему функцию считывания данных акселерометра, а затем разместить в магазине Google Play. Теоретически, такое приложение не будет признано, как вредоносное программное обеспечение, так как способ его действия не имеет в себе ничего вредного.

Нужно ли беспокоиться о том, что кто-то может за нами шпионить? Только в том случае, если этот кто-то действительно имеет к тому основания. Обычные мошенники предпочитают более легкие пути.

Однако, если пароль к вашему компьютеру или информация о пути на работу являются для кого-то ценными, smartwatch может стать инструментом для отслеживания.

В таком случае, чтобы защитить себя, соблюдайте следующие правила:

  • Обратите внимание, чтобы smartwatch не потреблял много данных и чтобы аккумулятор не разряжался слишком быстро: обратная ситуация – признак заражения.
  • Не предоставляйте приложениями слишком много разрешений. Особенно остерегайтесь таких, которые хотят получить информацию об учетной записи и географические координаты.
  • Установите приложение для защиты вашего смартфона, которое будет обнаруживать шпионские программы, прежде чем они начнут свою деятельность.


avatar