Smartwatch vulnerabili agli attacchi hacker

I segnali dei dispositivi bluetooth indossabili, e in particolare dei segnali a basso consumo energetico del Bluetooth Low Energy, utilizzato ad esempio dagli smartwatch e dai fitness tracker che monitorano i parametri vitali, sono facilmente intercettabili dall'esterno, quindi possono essere facilmente prelevati dai cybercriminali.

Scritto da

Simone Ziggiotto

il

I segnali dei dispositivi bluetooth indossabili, e in particolare dei segnali a basso consumo energetico del Bluetooth Low Energy, utilizzato ad esempio dagli smartwatch e dai fitness tracker che monitorano i parametri vitali, sono facilmente intercettabili dall’esterno, quindi possono essere facilmente prelevati dai cybercriminali. E’ l’allarme lanciato dagli esperti informatici dell’azienda Context Information Security, che come parte dello studio ha anche sviluppato una app per Android che trova e monitora i dati di tutti i dispositivi nelle vicinanze.

"Uno dei nostri ricercatori senior Scott Lester ha dimostrato quanto sia facile monitorare e registrare segnali Bluetooth Low Energy trasmessi da molti telefoni cellulari, dispositivi indossabili e iBeacons, tra cui l’iPhone e tracker di fitness, sollevando preoccupazioni per la privacy e la riservatezza. Il nostro team di ricerca ha anche sviluppato un’applicazione Android che scansiona, rileva e registra i dispositivi indossabili".

E non è difficile identificare un dispositivo particolare che si trova nelle vicinanze da cui prelevare le informazioni. "Utilizzando un hardware abbastanza comune o uno smartphone potrebbe essere possibile identificare e localizzare un dispositivo particolare, magari di una celebrità, di un politico o di un importante uomo d’affari, a 100 metri di distanza" spiega il ricercatore dell’azienda Scott Lester, secondo cui "questi dati possono essere usati come parte di un attacco informatico o anche fisico, perchè permettono di conoscere i movimenti delle persone".

I risultati della società seguono le recenti notizie che soldati dell’Esercito di liberazione popolare cinese sono stati avvertiti di non utilizzare i dispositivi indossabili per limitare la possibilità di far sfruttare ai cybercriminali le falle per violare la sicurezza informatica. "Molte persone che indossano i dispositivi di fitness non si rendono conto che stanno trasmettendo costantemente e che queste trasmissioni possono spesso essere attribuite ad un dispositivo unico," afferma Scott.

Il Bluetooth Low Energy (BLE)

Il Bluetooth Low Energy (BLE) è nato con l’idea di riprogettare il protocollo Bluetooth per riuscire a garantire una trasmissione di dati da un dispositivo ad un altro ad un basso consumo energetico, per l’impiego in una nuova serie di applicazioni. Fondamentalmente, BLE non è compatibile con i tradizionali dispositivi Bluetooth, anche se la specifica consente ai dispositivi di implementare uno o entrambi i protocolli. Le modifiche apportate al BLE permettono di lavorare in un modo molto diverso dal tradizionale Bluetooth.

I dispositivi iBeacon sono stati tra i primi dispositivi BLE, che hanno una sola funzione: trasmettere costantemente i pacchetti BLE contenenti solo informazioni per notificare la propria presenza a dispositivi vicini con iOS7 e iOS8. La tecnologia consente ad uno smartphone o ad un altro dispositivo di effettuare delle azioni quando sono nelle vicinanza di un iBeacon.

Per fare uso di un iBeacon, di solito è necessario avere un’applicazione mobile che cerca tali dispositivi nell’ambiente circostante, e sa cosa fare quando li trova. Nel Regno Unito, alcuni operatori di aereomobili avevano aggiunto iBeacon presso i loro lounge aeroportuali, in modo che l’applicazione fosse utilizzata per mostrare la carta d’imbarco di un viaggiatore. Un certo numero di aziende e organizzazioni stanno già utilizzando o sperimentando iBeacon, come ad esempio la Major League Baseball.

Insomma, utilizzare dispositivi BLE significa inviare di continuo dati personali ai dispositivi che riescono a trovarli, raccoglierli ed elaborarli. Se si riesce a trovare uno di questi dispositivi trasmettitori, e si riesce ad attribuire un dispositivo ad una persona in particolare, come una celebrità, ecco che un malintenzionato ha la possibilità di entrare in possesso di informazioni personali, a volte anche molto personali.

Molto è stato scritto di recente sugli effetti positivi e negativi delle tecnologie indossabili. Ciò che è evidente è che molti di questi dispositivi contengono informazioni molto personali sulla salute e sullo stile di vita di una persone, che può portare a rappresentare una ricchezza di dati su un individuo. Mentre molte persone sono molto felici di pubblicare tali informazioni sui social media, altre non lo sono. 

Dati personali costantemente condivisi

BLE non è una nuova tecnologia, ma rispetto al tradizionale Bluetooth è un nuovo mezzo di comunicazione costante per i per dispositivi elettronici l’uno con l’altro. Mentre la tecnologia indossabile e altre applicazioni stanno diventando sempre più popolari, quanti dei proprietari di questi dispositivi si rendono conto che essi trasmettono costantemente informazioni personali?

Queste trasmissioni possono quasi sempre essere attribuite ad un dispositivo unico, contrariamente alle misure adottate nel protocollo per rendere anonimi dispositivi generando casuali indirizzi MAC (indirizzo che identifica appunto un unico dispositivo). A seconda del prodotto, alcune di queste trasmissioni possono anche essere identificate per un particolare produttore (ad esempio, tutti gli smartwatch di Samsung trovati) o il modello del prodotto (ad esempio, tutti gli smartwatch di Samsung serie Gear trovati), o di un singolo prodotto (ad esempio, lo smartwatch di Samsung serie Gear di quella persona).

La ricerca di queste trasmissioni è facile sia con dispositivi hardware a buon mercato o con uno smartphone. Questo permette di identificare e localizzare particolari dispositivi, che per i dispositivi come tracker di fitness che sono stati progettati per essere indossati tutto il tempo, significa che "siamo in grado di identificare e localizzare una persona, entro un certo limite" ha spiegato la società.

Ci sono chiare implicazioni per la privacy, così come ci sono modi in cui questa tecnologia potrebbe essere sfruttata per la criminalità. 

Tutto questo è un work in progress, la tecnologia può essere migliorata.

Smartwatch Mediatek CES

LG Smartwatch AUDI

Impostazioni privacy