La proliferazione di dispositivi indossabili – per esempio, smartwatch e fitness tracker – con sensori incorporati ha già dimostrato il suo grande potenziale sul monitoraggio delle attività quotidiane degli indossatori, ma una nuova ricerca rivela una grave violazione della sicurezza dei dispositivi indossabili, rendendo possibile divulgare informazioni segrete. In parole povere: gli smartwatch non garantiscono sicurezza al 100%, anche se non in tutti i casi di utilizzo.
Una ricerca collaborativa condotta da un team del dipartimento di ingegneria elettrica e informatica presso l’Istituto Stevens of Technology e la Binghamton University di New York, ha dimostrato cun dispositivo indossabile come uno SmartWatch potrebbe finire per compromettere il codice PIN di un utente, grazie ai dati che rileva attraverso i sensori che integra.
Attualmente il metodo migliore di un hacker per ottenere informazioni segrete dagli smartphone delle persone – come il PIN o password – si basa sull’ installazioni di malware sul dispositivo della vittima, ma grazie a questa ricerca vi è la prova che anche i dati raccolti dai sensori che si indossano possono essere fonte di informazioni sensibili.
Il team per dimostrare la propria teoria ha combinato i dati raccolti dai sensori dei dispositivi indossabili con un algoritmo creato per riuscire a capire quali tasti l’utente potrebbe aver premuto riproducendo le traiettorie della mano su una tastiera analizzando gli spostamenti in rapporto con lo smartphone. Per il test sono stati utilizzati tre differenti dispositivi indossabili (due smartwatch e un dispositivo di tracking a nove assi) e prese in considerazione diversi tipi di tastiere.
Il risultato è che il team è riuscito a trovare il PIN corretto con l’80 per cento di precisione alla prima elaborazione dei dati, e più del 90 per cento di precisione dopo tre tentativi.
Guardando al lato positivo, si puo’ dire che i sensori dei wearable sono precisi!
Questo un estratto dello studio dal rapporto della ricerca:
"In questo lavoro, abbiamo dimostrato che un dispositivo indossabile può essere sfruttato per tracciare con precisione distanze e le direzioni dei movimenti della mano degli utenti, cosa che consentirebbe ad hacker di riprodurre le traiettorie della mano dell’utente e in seguito recuperare informazioni segrete come dei codici di accesso. In particolare, il sistema conferma la possibilità di utilizzare i sensori incorporati in dispositivi indossabili, come accelerometri, giroscopi e magnetometri, per ricavare la distanza di movimento della mano dell’utente rispetto al dispositivo."
Uno dei ricercatori del team, il professor Yan Wang, ha detto che la maggior parte dei dispositivi indossabili oggi hanno sensori che possono fornire "informazioni sufficienti" dei movimenti della mano per poter avere accesso ad informazioni personali dell’utente. Quindi, più sensori ci sono, e piu’ questi sono precisi, meno sicurezza garantiscono.
Un hacker non avrebbe bisogno di trovarsi nelle vicinanze di una persona per scoprire il PIN del suo telefono, ma dovrebbe comunque trovarsi nel raggio di dieci metri (anche in stanze separate) in modo da intercettare i dati scambiati tramite la connessione Bluetooth dal dispositivo indossabile ad uno smartphone. In alternativa, un malware installato sul wearable oppure sullo smartphone potrebbe recuperare i dati archiviati dai sensori e inviarli all’hacker.
Mentre i ricercatori si sono focalizzati nel provare se un semplice codice PIN poteva essere scoperto, potenzialmente un hacker potrebbe riuscire a scopire molte altre informazioni, come password di siti web o informazioni sui conti bancari o ancora tracciare i messaggi – in generale tutto cio’ che si puo’ digitare sulla tastiera dello smartphone.
"[l’algoritmo] può essere esteso per curiosare cio’ che viene battuto sulla tastiera e interpretare le password delle persone o in generale tutto quello che digitano" ha detto il professore Yingying Chen a TechCrunch. "Abbiamo un altro progetto di ricerca su questo."
Sulla base di quanto sono riusciti a scoprire, i ricercatori considerano un rischio per la socurezza sia gli orologi intelligenti che i fitnessband.
Esiste un modo per proteggersi: digitare con l’altra mano, quella dove non si indossa il wearable.
