Internet · Mobile

Koliko je bezbedan vaš quantified self? Praćenje, nadzor i nosiva tehnika

Entuzijasti za praćenje sopstvenih informacija generišu ogromne količine informacija putem aplikacija i uređaja. Da li su ovi podaci bezbedni od radoznalih očiju? 

Svakog dana, milioni ljudi širom sveta aktivno beleže svaki aspekt svog života, misli, iskustva i dostignuća u aktivnosti poznatoj kao samo-praćenje (ili tzv. quantified self , odnosno vođenje evidencije o sebi).

Ljudi koji se bave samo-praćenjem čine to iz različitih razloga. Imajući u vidu količinu generisanih ličnih podataka, prenesenih i uskladištenih na različitim lokacijama, privatnost i sigurnost su važni elementi za korisnike ovih uređaja i aplikacija.

Symantec je pronašao bezbednosne rizike u velikom broju uređaja i aplikacija za samo-praćenje. Jedan od najznačajnijih nalaza je bio da su svi ispitani nosivi uređaji  za praćenje aktivnosti korisnika, uključujući i one vodećih brendova, ranjivi na praćenje lokacije.

Kako sistemi za samo-praćenje funkcionišu?

Mnogi ljudi koji se bave samo-praćenjem to rade uz pomoć sprava kao što su elektronske narukvice, pametni satovi, privesci, čak i pametna odeća. Ove spravice uglavnom sadrže jedan broj senzora, procesor, memoriju  i interfejs za komunikaciju. One omogućavaju korisniku da bez muke sakupe, sačuvaju i emituju podatke na drugi računar zbog obrade i analize.

Uprkos rastućoj upotrebi posebno dizajniranih spravica, pametni telefoni su ipak možda najčešći način na koji ljudi sprovode samo-praćenje. Moderan pametni telefon je prepun velikog broja različitih senzora, koji mogu da se koriste uz pomoć raznih aplikacija za samo-praćenje. Mnogi ljudi već imaju pametne telefone, a rasprostranjenost besplatnih aplikacija za samo-praćenje čini da se korisnici lakše nego ikada bave ovom aktivnošću.

Kako bi počeli sa samo-praćenjem, korisnici jednostavno treba da odaberu jednu od  velikog broja aplikacija, instaliraju je, otvore svoj nalog i počnu sa praćenjem. Na kraju svake sesije korisnik može da pregleda i sinhronizuje prikupljene podatke na cloud sever za skladištenje podataka.

Dakle koliko je bezbedan Vaš quantified self?

Kada predamo naše lične i quantified self podatke pružaocima ovih usluga, da li naše poverenje predajemo u pogrešne ruke? Kako da budemo sigurni da oni preduzimaju sve neophodne korake u zaštiti naših informacija i naše privatnosti? Da bi bolje razumeli šta se tom prilikom dešava u svetu samo-praćenja, ispitali smo šta proizvođači čine kako bi zaštitili korisnike njihovih usluga, tako što smo pažljivije pregledali neke od najpopularnijih quantified self spravica i aplikacija na tržištu.

Praćenje lokacije mobilnih uredjaja

Svi mobilni uredjaji za praćenje aktivnosti se mogu pratiti ili locirati putem prenosa  bežičnih protokola.

Trenutno na tržištu postoji mnogo mobilnih uređaja za praćenje sportskih aktivnosti. Ovi uređaji uglavnom sadrže senzore koji detektuju pokrete, ali većina njih nije napravljena za praćenje lokacije. Podaci koje prikupljaju ovi uređaji uglavnom treba da budu sinhronizovani sa drugim uređajem ili računarom kako bi ih videli. Zbog prednosti mnogi proizvođači koriste Bluetooth Low Energy kako bi omogućili uređajima da bežično sinhronizuju podatke sa pametnim telefonom ili računarom. Ipak, ova pogodnost ima svoju cenu: uređaji mogu da odaju informacije koje dozvoljavaju da budu praćene sa jedne na drugu lokaciju.

Da bi ispitali kako se ovi uređaji mogu pratiti, napravili smo prenosni uređaj za skeniranje Bluetooth signala, koristeći Raspberry Pi minikompjuter i komponente koje imaju u sebi Bluetooth 4.0 adapter, bateriju i SD memorijsku karticu. Sve ove komponente se mogu legalno kupiti u prodavnicama. Kombinovane su sa softverom otvorenog koda i običnim pisanjem skriptova. Svaki uređaj ne košta više od 75 američkih dolara i može lako da ga sastavi svako ko ima osnovne IT veštine.

Prenosni skeneri su onda odneti na prometne javne lokacije u Irskoj i Švajcarskoj, gde smo šetali zajedno sa svima da vidimo šta je moguće pronaći. Odneli smo ih takođe na veliki sportski događaj i postavili ih na statične lokacije omogućivši sebi da pratimo takmičare dok se odvijala trka. Skeneri su bili u pasivnom režimu i nisu pokušavali da ostvare vezu sa uređajima koje su otkrivali. Jednostavno su skenirali radio talase na signale koje emituju ovi uređaji.

Našim testovima smo utvrdili da je sve uređaje na koje smo naišli je lako pratiti, koristeći jedinstvenu hardversku adresu koju emituju. Neki uređaji (u zavisnosti od konfiguracije) dozvoljavaju i daljinsko vršenje upita, putem kojeg informacije kao što su serijski broj ili kombinacija karakteristika uređaja mogu biti otkrivene od strane neželjene osobe sa kratkog rastojanja bez ostvarivanja fizičkog kontakta sa uređajem.

Zašto brinuti o ovome?
Moguće je da provalnici ili oni koji proganjaju nekoga koriste informacije o praćenju lokacije sa zlim namerama.  Poznato je da provalnici koriste sisteme za praćenje lokacija kako bi znali da li je potencijalna žrtva kod kuće.

20 posto aplikacija emituje poverljive podatke o korisniku u otvorenom tekstu

Mnoge quantified self aplikacije poseduju komponente zasnovane na cloud serveru, gde je neophodno da korisnici pošalju i sačuvaju podatke sakupljene iz aplikacija ili usluga za bezbedno čuvanje i analizu. Pored toga što se čuvaju podaci o aktivnostima, neke usluge takođe prikupljaju širok obim drugih ličnih  informacija kao što su datum rođenja, trenutni bračni status, adrese, fotografije i druge lične statistike. Kako bi sprečili neovlašćen pristup korisničkim podacima svi ovi servisi zahtevaju korisničke naloge koje štite korisničko ime i lozinka.

Zašto brinuti o ovome?
Emitovanje poverljivih podataka u otvorenom tekstu je posebno problematično s obzirom da veliki broj ljudi ima sklonost da koristi iste podatke za prijavljivenje na više servisa. Zbog ove navike, ukradeni podaci o prijavljivanju na jedan servis mogu potencijalno da budu upotrebljeni za dobijanje pristupa nalozima za elektronsku poštu ili za online kupovinu.

52 posto ispitanih aplikacija nema pravila o privatnosti

Aplikacije i servisi za samo-praćenje su po svojoj prirodi napravljeni da prikupljaju i analiziraju lične informacije. Stoga je razumno očekivati i zakonski je obavezujuće u mnogim pravnim sistemima (npr. Online Privacy Protection Act 2003), da kompanije koje prikupljaju i upravljaju ličnim podacima (PII)  obezbede pravila o privatnosti koja će biti vidno istaknuta i lako dostupna. Poželjno je da pravila o privatnosti budu razumljiva i onima koji se ne bave pravom i da se pokažu korisnicima pre nego što se prijave na servis, kako bi mogli da razmisle o izboru pre nego što počnu da ga koriste.

Uprkos značaja posedovanja pravila o privatnosti, većina aplikacija koje smo mi ispitali ih nisu imale.

Zašto brinuti o ovome?

Nedostatak pravila o privatnosti može da bude pokazatelj kako je pitanje bezbednosti tretirano tokom razvoja i pružanjem online usluge samo-praćenja. Korisnicima se savetuje da ove podatke uzmu u razmatranje pre nego što se prijave za bilo koji od ovih servisa.

Nenamerno curenje podataka

Maksimalan broj jedinstvenih domena kontaktiranih od strane jedne aplikacije je 14, a prosek pet

Druge bezbednosne slabosti

U svakom zajedničkom servisu, korisnički nalozi se koriste da bi se odvojili statusi jednog korisnika od podataka drugih. Sesije se koriste za upravljanje protokom podataka i njihovom obradom, tako da samo  korisnici mogu da pristupe svojim podacima i obave zadatke sa podacima kojima im je dozvoljen pristup. Sajber kriminalci mogu eksploatisati slabo upravljanje sesijama i na taj način preotmu sesije, i da se predstavljaju kao drugi korisnici. Ovo može dovesti do curenja informacija, informacijskog vandalizma i drugih problema.

Leave a Reply