Izrādās, ka pēdējā laikā popularitāti ieguvušie vingruma skaitītāji, kas vāc informāciju par lietotāja fizisko aktivitāti, var pārsūtīt datus ne tikai tieši savam īpašniekam. Kaspersky Lab atklāja šo sporta aproču īpatnību, pētot to mijiedarbības veidus ar viedtālruņiem.
Tika noskaidrots, ka vairākās populārās vingruma aprocēs īstenotā pievienojamās ierīces autentifikācijas metode dod iespēju citām personām nemanāmi izveidot savienojumu ar viedtālruni, izpildīt vairākas komandas un pat iegūt ierīcē saglabātos datus. Tas viss ir iespējams, ja viedtālruni pārvalda 4.3 vai jaunākas versijas operētājsistēma Android un tajā ir instalēta neatļauta lietotne sinhronizācijai ar aktivitātes aproci.
Kā zināms, lai izveidotu vingruma skaitītāja un viedtālruņa savienojumu, lietotājam šī darbība ir jāapstiprina, piespiežot atbilstošu aproces pogu. Taču pašlaik lielākajai daļai šo ierīču nav ekrāna, tāpēc ļaundari var viegli apiet šo obligāto noteikumu, jo tad, kad vingruma aproce vibrē, pieprasot apstiprināt savienojumu ar viedtālruni, lietotājs nevar zināt, vai ir runa par viņa paša vai par kādu citu tālruni.
Sinhronizējot ar viedtālruni Kaspersky Lab pētītās aktivitātes aproces, tās pārsūtīja tikai ziņas par lietotāja veikto soļu skaitu, taču nākamās paaudzes skaitītāji apkopos daudz vairāk datu par personas fizisko stāvokli, un tas nozīmē, ka konfidenciālas informācijas noplūdes risks var ievērojami palielināties.
«Protams, šāda veida riski nešķiet pārāk nozīmīgi salīdzinājumā ar patiešām izšķiroši svarīgas informācijas, piemēram, paroļu vai bankas karšu datu, noplūdes draudiem, tomēr mūsu eksperiments liecina, ka populārām elektroniskajām ierīcēm ir nenovērstas ievainojamības, ko var izmantot ļaundari. Tagadējā vingruma skaitītāju paaudze pagaidām prot samērā maz: tie galvenokārt skaita soļus un seko līdzi miega fāzēm, bet nākotnē šis ierīces kļūs gudrākas. Tieši tāpēc jau šodien ir jārūpējas par to drošības garantēšanas jautājumiem, tostarp jāizstrādā aizsargāts sporta aproču un viedtālruņu sinhronizācijas paņēmiens,» norāda Kaspersky Lab antivīrusu eksperts Romāns Unučeks.
Tiem vingruma aproču lietotājiem, kas vēlas pārliecināties par savu ierīču drošību, Kaspersky Lab iesaka vērsties pie aproces izstrādes uzņēmuma un noskaidrot, vai šāda veida uzbrukumi ir iespējami viņu skaitītājam.
Par aktivitātes aproču ievainojamībām vairāk lasiet Kaspersky Lab pārskatā.
Ir taču iespēja pirkt visparastāku soļu skaitītāju ar ekrānu un iztikt bez sinhronizācijas. Ir pat tādas bez BT – krietni ilgāk iet ar vienu uzlādi. Personiski es neuzticos visai tai automātikai, kas paķer datus un publicē tīklā, nu nē. Varat man stāstīt par XXI gs un ka nevajag dzīvot alā (ko es arī nedaru), bet ziniet, ir robeža kuru labprātīgi pārkāpt negribās.
Varbūt ir laiks beigt publicēt KGB Lab rakstus? http://www.bloomberg.com/news/articles/2015-03-19/cybersecurity-kaspersky-has-close-ties-to-russian-spies
Kaspersky Lab vadītājs taču jau rakstīja, ka tā ir sensācija tukšā vietā :) http://eugene.kaspersky.com/2015/03/20/a-practical-guide-to-making-up-a-sensation/
Var jau būt, bet var jau arī lietas noklusēt. Vai tad par 2013 gada G20 ar remote access Trojan piepildītajām USB dāvaniņām Lab vadītājs ziņoja?
Pie mums pieņemts klāt šādam apgalvojumam arī pielikt arī saiti uz avotu.
Antivīrusu laboratorija var ziņot tikai par to, kas ir pie viņas nokļuvis uz izpēti. Neatceros, ka jel kāds av ražotājs būtu ziņojis par to G20. Bija tikai zurnālistu brēka bez tehniskām detaļām un nosaukumiem.
Es pat to brēku īsti korekti neatceros.
Kristap, Tu jau sen solīji pievērsties tematikai un varbūt ir pēdējais laiks palikt nopietnākiem un sākt nodarboties ar analītiku. Pašiem papētītu un sameklēt kādu, piemēram, vīrusu vai trojānu upuri utt. Preses ziņu publicēšana vai daļēji copy/paste/subjektīvi apskati (ar kādiem pilns internāc – gsm arena utt)… tas ir par maz lai kļūtu ppar pieaugušu un nobriedušu portālu. Analizēt, piemēram OS no lietotāja viedokļa (pēc vajadzībām un pielietojuma) nevis provocēt fanboju kaujas. Tas tā… pārdomām. Tā jau vispār jūs tur čaļi forši!
Te vēl var pievienot The Guardian informācijas atsaukumu jeb labojumu 2008. gadā pēc tam, kad viņi saprata, ka savus izdomājumus par Kasperska saistību ar KGB var nākties aizstāvēt tiesā: “Eugene Kaspersky, co-founder and CEO of the internet security company Kaspersky Lab, was never a “KGB man” or a lieutenant in the KGB (The ex-KGB man stalking the cybercriminals, page 5, Technology, January 31). He studied cryptography at a high school which was then co-sponsored by the Russian department of defence and KGB, and went on to work for the department of defence.” http://www.theguardian.com/theguardian/2008/feb/13/4
Kas attiecas uz Bloomberg nesen izplatīto info par Kasperski, tad ar šo gājienu manā personīgajā reitingā šī aģentūra nobrauca uz dzeltenās preses līmeni. Te pat nav svarīgi, par ko viņi rakstīja, bet kādā līmenī sagatavots materiāls. Kā izteicās viens britu mēdijs par šo “garadarbu”: “… a hit piece on Bloomberg, an article more worthy of a bad Friday afternoon at the Daily Mail than a serious newswire …”.