1. Перевірка безпеки фітнес-трекерів: було протестовано 7 браслетів і годинник Apple Watch
2. Постійні високі ризики
3. Трекер: підключення, аутентифікація, захист від зміни даних
4. Безпека додатків і інспекція коду
5. Висновок: ідеальні для спорту, але не для безпеки
6. Тестування смарт годин Apple Watch

Дослідники AV-Test провели комплексне тестування безпеки 7 сучасних фітнес-браслетів для ОС Android і смарт годин Apple Watch. В результаті виявилося, що деякі виробники продовжують здійснювати прикрі помилки

Фітнес-браслети і смарт годинник стали дуже популярним пристроями не тільки серед любителів спорту. Зарубіжні медичні страхові компанії субсидують покупку фітнес-трекерів або винагороджують за їх використання, тому що клієнти, які займаються фізичною активністю, обходиться страховим компаніям дешевше. Ось чому дослідники AV-Test провели комплексне тестування безпеки 7 сучасних фітнес-браслетів для ОС Android і смарт годин Apple Watch. В результаті виявилося, що деякі виробники продовжують здійснювати прикрі помилки.

Перевірка безпеки фітнес-трекерів: було протестовано 7 браслетів і годинник Apple Watch

Результати тестування безпеки: в новому раунді тестування деякі фітнес-трекери представили серйозний ризик безпеки. У рейтингу не представлені Apple Watch, тому що пристрій було протестовано окремо.

На перший погляд поточні та прогнозні показники продажів фітнес-браслетів повинні викликати захоплення. Згідно статистично даними IDC в ​​2014 році було продано більше 26 мільйонів фітнес-трекерів, в 2015 році - понад 75 мільйонів, а в 2016 році планується продати більше 100 мільйонів пристроїв.

Постійні високі ризики

Середу тестування: фітнес-браслети були підключені до смартфону, перевірялися стандартними програмами від виробника і тестове додаток, а моніторинг підключень здійснювався за допомогою проксі-сервера.

Дане випробування оцінювало новітні і найбільш продавані фітнес-браслети, а також смарт годинник Apple Watch. Всі трекери працювали з відповідним додатком на смартфоні Android. Саме тому в тесті результати сумуються для трекерів і додатків. Повний звіт за результатами тестування доступний на сайті лабораторії у вигляді PDF-файлу .

Apple Watch представляє особливий випадок: деякі методи тестування додатків Android неможливо застосувати в iOS. Саме тому тестування Apple Watch було проведено окремо, звіт читайте в кінці статті. Були протестовані наступні продукти:

• Basis Peak
• Microsoft Band 2
• Mobile Action Q-Band
• Pebble Time
• Runtastic Moment Elite
• Striiv Fusion
• Xiaomi MiBand
• Apple Watch (в кінці статті)

Дослідники зосередили свою увагу на двох основних проблемах:

1. З точки зору кінцевого користувача, чи захищені записуються трекером або додатком дані від шпигунства і злому третіми особами?
2. З точки зору страхових компаній та інших організацій, чи захищені дані в трекері від підробки?

Перше питання передбачає розгляд ситуації, коли зловмисники можуть використовувати дані, що поставити користувача в невигідне становище. Друге питання стосується страхових компаній, які заохочують своїх клієнтів за досягнення фітнес-цілей. Якщо сам пристрій або його додаток може бути зламано з метою модифікації даних, дана уразливість може широко експлуатуватися.

3-х етапна оцінка ризиків

Дослідники перевірили кожен трекер по 10 тестових критеріям, розділених на 3 області: трекер, додаток і передача даних по мережі. Підсумкової графік ризиків показує області, в яких у учасників тестування виникли проблеми. Терміни "помилка" або "пролом в безпеці" навмисно не застосовувалися, тому що в тестових зонах фіксувався підвищений або високий ризик проникнення, а не 100-відсотковий ризик. Дослідники не робили спроб подальшого злому потенційно вразливою зони. Вони просто проаналізували потенційні дії зловмисника у цій галузі та можливі наслідки.

Pebble Time: фітнес-браслет заробив мінімальну кількість очок ризику в тесті, що свідчить про високий рівень безпеки.

Microsoft Band 2: хоча браслет працює в Android, компанія Microsoft серйозно підійшла до питань безпеки пристрою.

Striiv Fusion: пристрій одержав 8 з 10 очок ризику і може бути розцінена як небезпечне.

Трекер: підключення, аутентифікація, захист від зміни даних

Видимість: все фітнес-трекери використовують Bluetooth для підключення до смартфону. Отже, в першу чергу були розглянуті традиційні проблеми бездротових підключень за даною технологією. Перший аспект безпеки - видимість для інших пристроїв Bluetooth. Пристрої повинні бути видимими для інших пристроїв тільки час сполучення НЕ деякий проміжок часу. Дана міра безпеки пропонується тільки браслетами від Microsoft і Pebble. Mobile Action анонсує дану можливість, але на ділі залишається видимим.

BLE Privacy: Другий важливий аспект безпеки Bluetooth-підключення - функція BLE Privacy, яка з'явилася, починаючи з Android 5.0. Завдяки даній функції, пристрій повторно генерує новий Mac-адреса для бездротового підключення Bluetooth. Фактична адреса ніколи не розкривається і не відстежується. Дана технологія використовується тільки в Microsoft Band 2. В інших пристроях технологія не реалізована.

Здатність бути виявленим: коли пристрій підключення, з технічної точки зору існує кілька можливих варіантів. Одним з найбільш безпечних рішень є ексклюзивне поєднання Bluetooth (трекер дозволяє підключення лише до одного довіреній смартфону), яке реалізовано в Basis Peak and Microsoft Band 2. Pebble Time дозволяє підключення з декількома пристроями, але користувачеві потрібно вручну їх підтверджувати, що також є безпечним сценарієм . Xiaomi MiBand використовує простий, але безпечний метод - після успішного сполучення, він перестає бути видимим і не дозволяє інші підключення. Фітнес-браслети від Striiv, Runtastic і Mobile Action не використовують технології захисту підключень до невідомим пристроям.

Аутентифікація: якщо сторонній смартфон успішно виконав пару з трекером, деякі фітнес-пристрої пропонують додаткову функцію безпеки - аутентифікацію, а саме Basis Peak, Microsoft Band 2 і Pebble Time. Хоча Xiaomi теж використовує дану технологію, її дуже просто обійти, а значить при певних обставинах вона буде марною. Решта три продукти або не пропонують подібну додаткову безпеку, або реалізують в недостатній мірі.

Захист від зміни даних: Цей аспект цікавий не тільки користувачам, але і страховим компаніям і судовим органам, які покладаються на достовірність даних трекера. Лабораторія протестувала наявність захисту цілісності даних і захисту від запису або модифікації даних трекера. Захист повинні бути налаштована таким чином, щоб запобігали будь-яким спробам несанкціонованого зміни і підробки даних браслета з боку користувача смартфона. Тільки продукти від Basis, Microsoft, Pebble і Xiaomi пропонують базовий захист в даній області. Проте, пристрої від Xiaomi можуть бути введені в оману через слабку аутентифікації. В результаті треті особи можуть запустити вібрацію, змінити налаштування будильника або скинути пристрій до заводських налаштувань.

Фітнес-трекери від Striiv і Mobile Action не використовують будь-яких адекватних методів аутентифікації або інших механізмів захисту, а значить є уразливими для модифікації даних. На Striiv Fusion значення вимірювань тіла можна змінити до нереальних значень. Ці дані згодом використовуються для розрахунку пройденої відстані і спалених калорій. У трекері Mobile Action також можна змінити параметри ваги, зросту, довжини кроку користувача. Ці значення були також використані безпосередньо для розрахунку спожитих калорій і пройденої відстані.

Безпека додатків і інспекція коду

Локальна пам'ять: навіть якщо технології трекера безпечні, відповідні додаток на смартфоні може бути слабкою ланкою. Ось чому під час тестування перевірялося, чи доступні дані фітнес-додатки іншим встановленим на Вашому пристрої,. Функції безпеки для смартфонів Android без root-доступу є достатніми для запобігання несанкціонованому доступу. Проте, якщо дані зберігаються в неправильному місці, вони доступні кожному. Xiaomi MiBand - єдиний браслет, який допустив подібну помилку. Додаток зберігає файл журналу активності у відкритій області сховища. Журнал включає дані, що передаються, інформацію про користувача, зокрема ім'я користувача, вимірювання тіла і т.д., яка також використовується в процесі аутентифікації.

Обфускація коду: під час другого випробування, об'єктом дослідження служив код програми. Зокрема, перевірялося, чи використовує додаток технології обфускаціі коду. Дані технології запобігають реверс-інжиніринг та приховують корисну інформацію від хакерів. Додатки від Mobile Action, Pebble і Xiaomi використовують обфускація в повному обсязі. Basis і Runtastic використовують технологію лише частково, що може становити небезпеку. Продукти від Microsoft і Striiv зовсім застосовують обфускація, а значить відповідні компетентні фахівці можуть провести інспекцію коду.

Журнали та налагоджувальна інформація: додаткові помилки програмування можуть розкриватися на етапі реєстрації подій і виведення налагоджувальної інформації. Іноді в цих вихідних даних відсутні важливі дані, тому розробники нехтують механізмами безпеки. Тільки додаток від Mobile Action повністю безпечно в цьому відношенні. Решта програми виводять інформацію таким чином, що вона може бути перехоплена зловмисниками.

Безпечна передача даних по мережі: в підсумковій перевірці брали участь всі з'єднання програми. Чи можна відстежити підключення? Чи є воно незашифрованим? Які саме дані передаються? Примітно, що всі підключення, які повинні бути зашифровані, дійсно були зашифровані. Відкриті HTTP підключення дуже легко перехопити, тому, ймовірно, вони виконувалися в незашифрованому вигляді.

Крім того, лабораторія перевіряла, чи є вміст захищеного підключення читаним після установки кореневого сертифіката. Ця оцінка має важливе значення, тому що сигналізує про те, чи може користувач управляти переданими даними. Продукти від Basis і Pebble показали, що безпека в даній області можлива - вони досить захищені від несанкціонованого доступу. У разі інших продуктів, залишалася можливість моніторингу захищених підключень і частково модифікувати їх. Таким чином, дані аутентифікації і синхронізації були читаються.

Висновок: ідеальні для спорту, але не для безпеки

Багато виробників зберегли помилки, виявлені в торішньому тестуванні фітнес-трекерів. Розробники не приділяють належної уваги аспекту безпеки. Оцінка ризиків показує, що трекери Pebble Time, Basis Peak і Microsoft Band 2 є найбільш захищеними. Вони мають незначні помилки, які, тим не менш представляють кілька можливостей для злому або фальсифікації даних. Після тестування виробники напевно виправлять деякі прикрі помилки за допомогою оновлення прошивки.

Фітнес-браслет від Mobile Action має кілька факторів ризику. За твердженнями виробника трекер оснащений функцією, яка робить пристрій невидимим для інших пристроїв, але в дійсність ця здатність не працює. Продукт має недоліки в процесі аутентифікації і вразливий для підробки даних. Під час тестування дані можна було модифікувати за допомогою бекдор.

Браслети від Runtastic, Striiv і Xiaomi отримали найбільшу кількість очок ризику - від 7 до 8 з 10 можливих. Дані продукти легко відслідковуються, нехтують аутентификацией або використовують слабку аутентифікацію і не мають ефективного захисту від зміни даних. Код додатків недостатньо обфусцірован, а передаються дані не захищені від моніторингу при наявності кореневих сертифікатів. Крім того, Xiaomi зберігає всі дані в незашірованном вигляді на смартфоні. Детальну інформацію про результати випробування можна прочитати в PDF-файлі.

Тестування смарт годин Apple Watch

Apple Watch також може використовуватися як фітнес-трекер в поєднанні з iPhone. AV-Test з'ясувала наскільки безпечно пристрій обробляє дані і чи можна перехопити персональну інформацію.

Тест Apple Watch був підготовлений таким же чином, як і випробування пристроїв для платформи Android. Проте, Android і iOS є різними операційними системами, тому перевірка певних критеріїв ризику не може бути проведена в системі від Apple. Ось чому лабораторія провела тестування критерієм видимості, BLE privacy і контрольованих підключень. В області мережевих з'єднань перевірялося шифрування каналів передачі даних і здатність зміни даних при наявності кореневих сертифікатів.

Bluetooth-видимість може контролюватися користувачем. Це означає, що годинник не можуть постійно відслідковуватися. У тесті BLE privacy Apple Watch призначав новий Mac-адресу щоразу, коли активувався Bluetooth. Таким чином, пристрій практично неможливо відстежити. У тесті дана функція працювала неодноразово. При включенні і відключення авіа-режиму Apple Watch завжди показує свій істинний MAC-адресу для компонентів Bluetooth.

C точки зору контрольованих підключень Apple використовує спеціальну техніку запобігання крадіжки даних: якщо пристрій пов'язане з обліковим записом, відв'язати його без труднощів не вийде. Скидання до заводських налаштувань тут не допоможе. Якщо злочинець продасть крадений Apple Watch, новий користувач не зможе з'єднати гаджет зі своїм iPhone.

Apple Watch використовує переважно зашифровані підключення, які додатково захищаються. Оновлення передаються в незашифрованому вигляді по протоколу HTTP.

Дослідники змогли прочитати частину даних в зашифрованим, але не захищених додатково підключених, зокрема гео-дані місця розташування користувача, включаючи адресу вулиці! Після установки кореневого сертифіката можна було виконати моніторинг багатьох підключень. Таким чином, користувач має підвищений доступ до даних і може їх модифікувати.

В цілому, Apple Watch отримав високий рейтинг безпеки. У той час як дослідники ідентифікували потенційно вразливі місця, їх експлуатація зажадає від зловмисників дуже багато часу і сил.

Знайшли друкарську помилку? Виділіть і натисніть Ctrl + Enter