Passo dopo passo, con il tracker cresce anche l’allarme sicurezza
Test Kaspersky Lab mettono in luce i pericoli legati a un uso disinvolto dei wearable
Più ancora dei soldi, la storia della sicurezza online negli ultimi anni ha insegnato come obiettivo principale siano diventati i dati degli utenti. Se infatti i conti personali presentano elevati livelli medi di protezione, aggirare l’ostacolo e rubare identità e informazioni offre ai cybercriminali molte più prospettive.
Sul lato utente, a fronte di livelli attenzione molto elevati in alcune circostanze, in altre gli esperti Kaspersky Lab stanno osservando ancora troppe lacune. Una di queste, i fitness tracker, con il rischio di trovarsi sì in buona forma fisica, ma colpiti molto più duramente su altri fronti.
I dispositivi wearable intelligenti, compresi anche gli smartwatch, sono di solito utilizzati nel corso delle attività sportive, o addirittura indossati giorno e notte. La maggior parte di loro è dotata di sensori di accelerazione incorporati (gli accelerometri), spesso combinati con sensori di rotazione (i giroscopi) per il conteggio dei passi e per conoscere la posizione corrente dell’utente. Gli esperti di sicurezza hanno quindi voluto provare a esaminare quali informazioni potrebbero essere fornite a terzi non autorizzati da questi sensori, analizzando da vicino diversi smartwatch.
Allo scopo, è stata sviluppata un’applicazione abbastanza semplice, per registrare segnali da accelerometri e giroscopi integrati. I dati registrati sono stati quindi archiviati nella memoria del dispositivo wearable o caricati sullo smartphone abbinato tramite Bluetooth. Utilizzando gli algoritmi matematici disponibili per la potenza di calcolo del wearable intelligente, è stato possibile identificare alcuni modelli comportamentali, capire il momento e il luogo nel quale un utente si stava muovendo e anche per quanto tempo ha condotto una certa azione. Cosa ancora più importante, è stato possibile identificare alcune attività sensibili degli utenti, compreso l’inserimento di una password sul computer (con una precisione fino al 96%), l’uso di un codice PIN presso i bancomat (circa all’87%) e lo sblocco del proprio smartphone (circa al 64%).
Lo stesso set di dati del segnale è un modello comportamentale unico per il proprietario del dispositivo. Utilizzandolo, una terza parte potrebbe andare oltre e cercare di riconoscere l’identità dell’utente – sia tramite un indirizzo email richiesto in fase di registrazione da una app sia tramite l’accesso alle credenziali dell’account su Android. Dopo questo, l’identificazione di informazioni dettagliate su una potenziale vittima – compresa la sua routine quotidiana o i momenti nei quali vengono inseriti dati importanti – è solo una questione di tempo. Considerando il prezzo in crescita per i dati privati degli utenti, potremmo trovarci velocemente in un mondo in cui le terze parti scelgono di monetizzare questa forma di accesso alle informazioni sensibili.
Se anche questo tipo di utilizzo non venisse capitalizzato, ma fosse utilizzato da criminali informatici per scopi malevoli, le possibili conseguenze potrebbero essere limitate solo dalla loro immaginazione e dal loro livello di conoscenza tecnica. Per esempio, potrebbero riuscire a decifrare i segnali ricevuti utilizzando reti neurali, attaccare le vittime o installare degli skimmer sugli sportelli bancomat utilizzati di solito. I ricercatori Kaspersky Lab hanno osservato come i criminali possano raggiungere un’accuratezza dell’80% quando tentano di decrittare i segnali di un accelerometro o di identificare una password o un PIN utilizzando solo i dati raccolti dai sensori degli smartwatch.
Al momento, probabilmente non è ancora il caso di allarmasi più del necessario. Come sempre in situazioni del genere, sono sufficienti alcuni accorgimenti, prima di vedere l’arrivo sul mercato di protezioni dedicate. Per esempio, stare molto attenti in fase di concessione a un’app dei dati di geolocalizzazione. Concedere le autorizzazioni strettamente necessaria al normale funzionamento è già un buon punto di partenza. In ogni caso, spegnere GPS, Wi-Fi e Bluetooth quando non servono è una difesa tanto semplice quanto efficace.
Inoltre, tenere sotto controllo il consumo della batteria. Se troppo veloce all’apparenza senza ragione può essere un ulteriore campanello di allarme. Quanto ai codici PIN, digitarli con la mano sulla quale non si indossa il dispositivo wearable.
