Pequenos acessórios inteligentes, como os smartwatches ou os fitness trackers, são vulgarmente utilizados em actividades desportivas para monitorizar os sinais vitais e enviar notificações ao utilizador.
Para executar estas funções, a maioria está equipada com sensores de aceleração (acelerómetros), muitas vezes combinados com sensores de rotação (giroscópios) para contagem de passos e identificação da posição do utilizador.
Os especialistas da Kaspersky Lab decidiram examinar que tipo de informação poderiam estes dispositivos fornecer a terceiros não autorizados, e analisaram mais detalhadamente vários smartwatches de diferentes fornecedores.
Os especialistas desenvolveram uma aplicação para smartwatches que grava os sinais dos acelerómetros e giroscópios integrados nos dispositivos. Os dados obtidos foram depois guardados na memória do dispositivo ou transferidos para o telemóvel emparelhado por Bluetooth.
Ao utilizar algoritmos matemáticos disponíveis para a fonte de computação do dispositivo, foi possível identificar padrões de comportamento do utilizador, os períodos quando e onde este se movimentava, e durante quanto tempo o fazia.
Mais importante ainda, foi possível identificar actividades sensíveis do utilizador, incluindo aceder ao computador com uma passphrase (com 96% de precisão), introduzir um código PIN num multibanco (cerca de 87%) e desbloquear um telemóvel (aproximadamente 64%).
Os dados dos sinais recolhidos formam um padrão comportamental único do utilizador do dispositivo. Recorrendo a esta informação, uma terceira entidade poderá tentar identificar a identidade do utilizador – que através do email utilizado para registar e aceder à aplicação ou através das credenciais de acesso da conta Android.
Após este passo, é apenas “uma questão de tempo até que todas as informações da vítima sejam compiladas, incluindo a sua rotina diária e os momentos em que acede a informações importantes. E, considerando o valor cada vez mais elevado das informações privadas dos utilizadores, estamos cada vez mais próximos de uma realidade onde terceiros monetizam este vector”.
Mas, mesmo que este exploit não seja capitalizado, os hackers poderão utilizá-lo para os seus propósitos maliciosos, e as possíveis consequências estão limitadas apenas pela imaginação e pelo nível de conhecimento tecnológico.
A Kaspersky Lab aconselha os utilizadores a prestar atenção às seguintes particularidades quando utilizarem acessórios inteligentes:
1) Se a aplicação envia pedidos para recolher informações da conta do utilizador, é motivo para preocupação – porque os hackers podem construir um perfil digital do utilizador a partir dos dados compilados;
2) Se a aplicação necessita de permissão para enviar dados de geo-localização, é ainda mais preocupante. Não conceda permissões às aplicações de fitness ou utilize o seu email profissional como acesso à aplicação;
3) Um consumo elevado da bateria do dispositivo pode também ser um aviso. Se o acessório gasta toda a bateria em algumas horas em vez de um dia, verifique as suas actividades – pode estar a fazer registo dos sinais ou a enviá-los a terceiros.
Via Kaspersky Lab.
