Gli smartwatch, i fitness tracker e gli altri dispositivi indossabili stanno rapidamente diventando familiari come i nostri telefoni cellulari e tablet. Questi accessori connessi fanno molto di più che leggere l’ora. Tracciano la nostra salute, visualizzano le nostre e-mail, controllano i nostri impianti domotici e possono persino essere utilizzati per pagare nei negozi. Sono un’estensione del cosiddetto Internet delle cose (IoT) che sta rendendo la nostra vita più sana e più conveniente, riducendo al contempo il tempo trascorso sullo schermo dello smartphone, che quest’anno ha raggiunto quasi le sei ore per la metà degli americani.
Non sorprende che si tratti di un mercato destinato a crescere del 12,5% all’anno nei prossimi anni, per superare i 118 miliardi di dollari entro il 2028. Ma se da un lato gli indossabili entrano più che mai nella nostra vita quotidiana, dall’altro raccolgono sempre più dati e si collegano a un numero crescente di altri sistemi intelligenti.
Gli esperti di ESET in questo articolo spiegano quanto sia bene comprendere in anticipo i potenziali rischi per la sicurezza e la privacy legati ai fitness tracker e danno una serie di consigli per proteggere i propri dispositivi.
Quali sono i principali problemi di sicurezza e privacy?
Gli attori delle minacce hanno diversi modi per monetizzare gli attacchi agli smart wearable e al relativo ecosistema di app e software. Potrebbero intercettare e manipolare dati e password e sbloccare dispositivi persi o rubati. Ci sono anche potenziali problemi di privacy per la condivisione occulta di dati personali con terze parti. Ecco un rapido riepilogo:
Rubare e manipolare i dati
Alcuni degli smartwatch più ricchi di funzioni consentono l’accesso sincronizzato alle applicazioni dello smartphone, come la posta elettronica e la messaggistica. Ciò potrebbe offrire agli utenti non autorizzati la possibilità di intercettare dati personali sensibili. Ma altrettanto preoccupante è il luogo in cui molti di questi dati finiscono per essere archiviati. Se non sono protetti adeguatamente a riposo, il provider può essere preso di mira dai ladri di informazioni. Esiste un fiorente mercato clandestino per alcuni tipi di dati personali e finanziari.
Minacce basate sulla posizione
Un altro tipo di dati chiave registrati dalla maggior parte degli indossabili riguarda la posizione. Con queste informazioni, gli hacker possono costruire un profilo accurato dei movimenti dell’utente durante la giornata. Ciò potrebbe consentire loro di attaccare fisicamente chi lo indossa o la sua auto/casa nei momenti in cui si ritiene che sia vuota.
Le preoccupazioni per la sicurezza dei bambini che indossano questi dispositivi sono ancora maggiori se vengono tracciati da terzi non autorizzati.
Aziende terze parti
Gli utenti non devono prestare attenzione solo ai rischi per la sicurezza. I dati raccolti dai dispositivi possono essere estremamente preziosi per gli inserzionisti. In alcuni mercati il commercio di tali dati è in crescita, anche se nell’UE dovrebbe essere strettamente regolamentato grazie alla legislazione introdotta nel 2018. Secondo un rapporto, i ricavi derivanti dai dati venduti dai produttori di dispositivi sanitari alle compagnie assicurative potrebbero raggiungere gli 855 milioni di dollari entro il 2023.
Alcune terze parti possono addirittura utilizzarli per creare profili pubblicitari su chi li indossa e venderli in seguito. Se questi dati vengono memorizzati da più aziende a valle, il rischio di violazione è maggiore.
Sbloccare gli impianti domotici
Alcuni wearable potrebbero essere utilizzati per controllare i dispositivi della smart home. Potrebbero persino essere impostati per sbloccare la porta di casa. Questo rappresenta un grave rischio per la sicurezza nel caso in cui i dispositivi vengano smarriti o rubati e le impostazioni antifurto non siano abilitate.
Dove falliscono gli ecosistemi di dispositivi?
Il dispositivo indossato è solo una parte del quadro. Ci sono in realtà diversi elementi: dal firmware del dispositivo ai protocolli utilizzati per la connettività, dall’app ai server cloud di back-end. Tutti sono suscettibili di attacco se la sicurezza e la privacy non sono state prese in considerazione dal produttore.
Eccone alcuni:
Bluetooth: Il Bluetooth Low Energy è tipicamente utilizzato per associare i dispositivi indossabili allo smartphone. Ma nel corso degli anni sono state scoperte numerose vulnerabilità nel protocollo. Queste vulnerabilità potrebbero consentire agli aggressori che si trovano nelle immediate vicinanze di bloccare i dispositivi, spiare le informazioni o manipolare i dati.
Dispositivi: Spesso il software del dispositivo stesso è vulnerabile agli attacchi esterni a causa di una programmazione inadeguata. Anche l’orologio meglio progettato è stato costruito dall’uomo e quindi potrebbe contenere errori di codifica. Questi possono anche portare a fughe di notizie sulla privacy, perdita di dati e altro ancora.
Inoltre, un’autenticazione/criptazione debole sui dispositivi può esporli a dirottamenti e intercettazioni. Gli utenti devono inoltre prestare attenzione ai navigatori di spalle se visualizzano messaggi/dati sensibili sui loro wearable in pubblico.
Applicazioni: Le applicazioni per smartphone collegate ai wearable sono un’altra via di attacco. Anche in questo caso, possono essere scritte male e piene di vulnerabilità, esponendo l’accesso ai dati e ai dispositivi dell’utente. Un rischio a parte è rappresentato dalle applicazioni o dagli stessi utenti che non sono attenti ai dati. Si possono anche scaricare accidentalmente app impostate per sembrare quelle legittime, inserendovi informazioni personali.
Server di back-end: Come accennato, i sistemi basati su cloud dei provider possono memorizzare le informazioni sul dispositivo, compresi i dati sulla posizione e altri dettagli. Questo rappresenta un bersaglio appetibile per gli aggressori in cerca di grossi guadagni. Non c’è molto da fare al riguardo, a parte scegliere un fornitore affidabile con un buon curriculum in materia di sicurezza.
Purtroppo, molti degli scenari sopra descritti sono più che teorici. Qualche anno fa, alcuni ricercatori di sicurezza hanno trovato vulnerabilità diffuse negli smartwatch dei bambini che esponevano dati personali e di localizzazione. In precedenza, un’indagine separata aveva scoperto che molti produttori inviavano ai server in Cina i dati personali non criptati dei bambini che utilizzavano i prodotti.
Le preoccupazioni persistono ancora oggi, con ricerche che dimostrano che i gadget sono suscettibili di manipolazioni che potrebbero persino causare disagio fisico all’utente. Un altro studio ha affermato che gli hacker potrebbero modificare le password, effettuare chiamate, inviare messaggi di testo e accedere alle telecamere di dispositivi progettati per monitorare anziani e bambini.
I migliori consigli per bloccare i vostri dispositivi
Fortunatamente, ci sono diverse cose che si possono fare per ridurre al minimo i rischi sopra descritti. Tra questi vi sono:
– Attivazione dell’autenticazione a due fattori
– Protezione con password delle schermate di blocco
– Modificare le impostazioni per impedire l’accoppiamento non autorizzato.
Proteggere il proprio smartphone
– Visitando solo app store legittimi
– Mantenendo tutti i software aggiornati
– Non eseguire mai il jailbreak/rooting dei dispositivi
– Limitando i permessi delle app
– Installando sul dispositivo un software di sicurezza affidabile
Proteggere i dispositivi domestici
– Non sincronizzare i dispositivi indossabili con la porta d’ingresso
– Mantenendo i dispositivi sulla rete Wi-Fi degli ospiti
– Aggiornando tutti i dispositivi all’ultimo firmware
– Assicurandosi che tutte le password dei dispositivi siano modificate rispetto alle impostazioni di fabbrica.
In generale:
– Scegliere fornitori di wearables affidabili
– Osservare attentamente le impostazioni di privacy e sicurezza per assicurarsi che siano configurate correttamente.
Man mano che i dispositivi indossabili entrano a far parte della nostra vita diventeranno un bersaglio sempre più grande per gli aggressori. Fate le vostre ricerche prima dell’acquisto e chiudete il maggior numero possibile di vie d’attacco una volta avviato il dispositivo.