Разкриването на данни от фитнес тракерите може да бъде скъпо

Фитнес тракерите експонират данните на потребителите на трети страни

Носимите устройства експонират огромно количество лични и някои медицински данни. Фитнес тракерите експонират данните на потребителите на трети страни. Специалистите по защита на данните гледат на тези устройства критично. Добавете към това факта, че данните, открити от устройствата, се прехвърлят на сървърите на производителите, съхраняват се там и се анализират. Сред останалите опасения съществува риск данните за здравето да бъдат:

разкривани на трети страни;
да се използват за икономическа изгода;
във вреда на собствениците им;
или по друг начин.

Особено в случаите, когато телесни и жизнени показатели се комбинират с данни от други източници, за да се създаде профил. Това позволява много точна картина на потребителя. Тези видове профили, подобрени и обогатени със здравни данни, представляват интерес преди всичко за доставчиците на дългосрочни договори.

В крайна сметка

кредитните институции,
работодателите,
лизинговите дружества,
застрахователните компании и
други фирми

използват тези средства, за да получат безценна информация за клиентите си.

Така може да изчисляват или коригират съответно сроковете на договорите и допълнителните условия, или в най-лошия случай да използват тотално тези данни за да изключват договори в собствена изгода.

По-специално за здравноосигурителните дружества фитнес данните са привлекателна цел

По този начин вече има много застрахователи по целия свят, участващи в разходите за придобиване на фитнес тракери. Някои, като застрахователя на САЩ Джон Хенкок, вече изискват използването на устройствата за определени здравни политики, както и изпращането на редовно записани фитнес показания от застрахованите лица. В замяна те получават Apple Watch Series 3 за символична такса в размер на 25 долара, вместо да я купуват сами на обикновената пазарна цена от поне $ 329. Оферта за пазаруване, която по-късно може да се окаже скъпа за клиентите: понеже тези, които не изпълняват месечните изисквания за фитнес на застрахователя, ще бъдат „наказвани“ с нарастващите застрахователни разходи. И те могат да бъдат значително по-високи от покупната цена на Apple Smartwatch.

Също така в Германия все повече и повече здравни застрахователи популяризират използването на фитнес тракери

Финансовият стимул понастоящем все още е далече от разкриването на данни за фитнес или поне няма отрицателни последици върху застрахователните премии. Съгласно сегашното състояние, моделът на финансиране се основава на система за възнаграждение. По този начин, в замяна на „фитнес точки“, клиентите получават допълнителни застрахователни обезщетения, напр. професионално почистване на зъбите. Един пример: В програмата за фитнес на доставчик на здравно осигуряване „Techniker“ клиентите получават здравни бонуси, ако за всяко приложение те демонстрират 60 000 стъпки на седмица. Приложението на доставчика на здравно осигуряване прочита данните, необходими за доказване от приложения на трети страни като Google Fit, Samsung Health, Apple Health или приложението Fitbit. Съответно, здравноосигурителното дружество субсидира и пропорционално закупуването на фитнес ръкав или Apple Watch, ако е съвместим със съответните приложения. Възможно е да се разбере кои здравни застрахователи в Германия субсидират закупуването на фитнес тракери чрез информационния портал krankenkassen.de, наред с други места.

Фитнес тракерите експонират данните на потребителите на трети страни

Началото на тази статия е поставено през 2016 г. Тогава правителството на Канада е изпълнило програмата за иследване на възможностите за нарушаване на конфиденциалността заради несъвършената защита на данните при използване на фитнес тракери.

Изследването е водено от Citizen Lab с партньор Open Effect в рамките на проект финансиран от Office of the Privacy Commissioner of Canada’s Contributions Program. Тази програма се занимава с въпросите на сигурността на фитнес тракерите. В началота на 2016 са публикувани първите резултати.

Потребителите трябва да знаят какво правят компаниите, за да се осигури тяхната лична информация

Основните технически констатации от изследването включват:

Седем от осемте фитнес проследяващи устройства излъчват постоянни уникални идентификатори (Bluetooth Media Access Control адрес)

Те може да изложат своите притежатели на дългосрочно проследяване на тяхното местоположение. Когато устройството не е свързано, свързаните мобилните устройства Jawbone и Withings могат да бъдат използвани, за да се създадат фалшиви записи от фитнес. Такива фалшиви записи поставят под въпрос надеждността на данните от фитнес тракери в съдебни дела и застрахователни програми. Приложенията Garmin Connect (iPhone и Android) и Withings Health Mate (Android) имат уязвимости в сигурността. Тези уязвимости позволяват неразрешен достъп от трета страна, с права за четене, писане и изтриване на потребителски данни.

Garmin Connect не използва основни практики за сигурност при предаване на данни за своите IOS или Android приложения. Следователно излага данните от тренировките във фитнесите на заинтересовани от наблюдението или подправянето и.

Изследователите провеждат контакти с производителите на седемте фитнес тракери

Това са компаниите чиито продукти излаагт уязвимости в сигурността.

С Apple не са контактували защото учените не са открили никакви технически уязвимости в Apple Watch, използвайки тяхната методология.

Fitbit, Intel и Mio са отговорили и са ангажирани в диалог с изследователите. Fitbit допълнително е изразила интерес към проучване на темата за прилагане на функциите за поверителност към Bluetooth в кореспонденцията с учените.

Две години след 2016 г. вече е налице ново осъзнаване на рисковете от използване на фитнес тракери и смарт часовници.

Използването на фитнес тракери и смарт часовници може да доведе до компрометиране на корпоративната мрежа. Естествено ако не са изпълнени определени условия при свързването им към нея. Обяснени са в статията, към която има линк в предното изречение.

Хакерите се прицелват във фитнес тракерите и умните часовници защото:

те нямат високо ниво на защита;
експонират навиците на собствениците си, а последните често са и водещи скъпо струващи корпоративни фигури;
свързани са с корпоративните мрежи и могат да служат като плацдарм при нашествия към тях.

Сега този клас устройства са по-сигурни от 2016 г., но това важи само при тестовете за персонална сигурност, не и за корпоративната инфраструктура от мрежи и информационни системи.

Поради малките размери на устройствата, опасностите от тях се подценяват

Анализите на риска не се правят и организициите се учат в движение как да се пазят от употребата на този клас устройства.

Нейтън Ръсер обърна внимание на данните, които се експонират на картата за GPS проследяване на Global Heatmap на компанията за фитнес тракери Strava.

Пентагонът заяви в началото на януари 2018 г., че преразглежда необходимостта от подсилване на протоколите си за сигурност, след като устройства за фитнес проследяване излъчват маршрутите на движение на американски служители в американски военни съоръжения по целия свят, включително във военни зони.

Министерството на отбраната, разкрило присъствието на американските сили в Сирия, заяви, че насърчава целия персонал на отбраната, където и да е, да ограничи публичното си присъствие в интернет. Това ръководство е още по-строго, когато войските действат на чувствителни места.

„DoD взема такива въпроси като тези много сериозно и преглежда ситуацията, за да определи дали е необходимо допълнително обучение или напътствия“, заяви Пентагон в изявление без да потвърди пряко, че американските войски са използвали фитнес инструментите.

Пентагонът също така заяви, че обмисля дали трябва да се вземат допълнителни мерки по въпроса „да се гарантира непрекъснатата сигурност на персонала на Министерството на външните работи в страната и чужбина“.

Детайлите бяха предоставени от Strava на карта за визуализация на данни, която показва цялата дейност, проследена от потребителите на нейното приложение, което позволява на хората да записват упражненията си и да ги споделят с други хора.

Картата е публикувана през ноември 2017 г.

Показва всяка отделна дейност, каквато някога е била качвана на „Strava“ – повече от 3 трилиона GPS данни, според компанията. Приложението може да се използва на различни устройства, включително смартфони и фитнес тракери като Fitbit. Може даа видите популярни маршрути в големите градове. Да разпознаете хора в по-отдалечени райони, които имат необичайни модели на тренировките си.

През това военните анализатори забелязаха, че картата също е достатъчно подробна. Така че потенциално може да разкрие изключително деликатна информация за подгрупата на потребителите на Strava, която включва военен персонал на активна служба.

Нейтън Русер, анализатор в Института за анализ на конфликти, за отбеляза неприятната за оперативната сигурност ситуация. „Базите на САЩ са ясно идентифицируеми и подлежащи на картографиране.“

„Ако войниците използват приложението като обикновените хора, като го включат в проследяването, когато отидат да се упражняват, това може да бъде особено опасно“, добавя Русер.

Нарастват рисковете от фитнес тракерите и умните часовници

През 2016 г. апетитите за лични данни бяха на по-малки.

Масивите с данни си вървяха на черния пазар.

Регламентите, които ограничават събирането на лични данни почти липсваха.

Профилирането чрез лични данни беше утвърден с ефективността си инструмент.

През март 2018 г. медиите съобщиха за инцидент с изтичане н алични данни, при който бяха засегнати 150 милиона потребители. Изтекли са потребителски имена, пароли и имейл адреси. Компанията е Under, а приложението се нарича MyFitness Pal.

Методика за тестване на фитнес тракерите през 2018 г.

Включва защита на данните при комуникация с облака, мобилния телефон и сензорите. Може да се види тук.

Консултантски услуги за киберзащита

You may also Like

Browser-based cyberattacks

Киберсигурност