Исследователи безопасности из «Лаборатории Касперского» (ЛК) опубликовали отчет об опасностях использования носимых гаджетов, таких как «умные» часы и фитнес-трекеры. По словам специалистов, похитив и проанализировав данные встроенных в устройство акселерометра и гироскопа, злоумышленник может составить поведенческий профиль человека и получить доступ к личной информации, например, определить моменты ввода пароля.
В ходе исследования эксперты провели несколько экспериментов cо смарт-часами Huawei Watch, Kingwear KW88 и PYiALCYX200, работающими на базе операционных систем Android Wear 2.5 и Android 5.1 for Smartwatch. Основной целью экспериментов было получить как можно больше информации о перемещениях и поведении пользователя на основе встроенных сенсоров.
«Рука с умными часами во время ходьбы колеблется по аналогии с маятником. Колебание маятника — это периодический процесс. Поэтому если на графике присутствуют области, где ускорение или показатели ориентации датчика движения меняются по периодическому закону, можно предположить, что в этот момент пользователь куда-то шел», — отметили специалисты.
Для профилирования жертвы злоумышленникам необходимо добиться установки на устройство специального приложения, способного отправлять на серверы киберпреступников пакеты данных. Затем достаточно всего один раз отправить данные о местоположении владельца или запросить разрешение на получение адреса его электронной почты, после чего уникальные сведения о поведении пользователя и другая конфиденциальная информация становятся потенциально доступными.
«"Умные" носимые устройства – не просто миниатюрные гаджеты, это сложные системы, которые могут записывать, хранить и обрабатывать физические параметры пользователя. Наше исследование показало, что даже самые простые алгоритмы, запускаемые на "умных" часах, позволяют сформировать уникальный поведенческий профиль человека за счет сигналов акселерометра и гироскопа. Полученные данные могут использоваться для деанонимизации владельца гаджета и отслеживания его действий, включая ввод конфиденциальных сведений», — добавили исследователи.
Владельцам смарт-часов рекомендуется не давать приложениям лишние разрешения, не указывать корпоративные электронные адреса при регистрации, а также обратить внимание на расход заряда батареи.

Источник: securitylab.ru