Video: ISO Standard Explained | What is ISO | Benefits of getting ISO certified | How to get ISO certified (September 2024)
När du träffar 10.000 steg eller når något annat fitness-tracker-mål, vill du dela din prestation med vänner, eller hur? Beroende på vilken enhet du använder kan du också dela din privata information med världen eller med alla i närheten. Forskare vid AV-Test Institute analyserade säkerheten för nio populära fitness trackers, och några av deras resultat var inte vackra.
Kort sagt, Fitbit Charge och Acer Liquid Leap säkerställer inte sina Bluetooth-anslutningar alls. Det innebär att dina data kan komma att överföras. Jawbone Up24 och Sony Smartband Talk SWR30 gjorde det bästa jobbet med att skydda användarens data.
Naturligtvis testades bara en artikel i varje företags produktlinje, men försiktighet förutsätter att antagandet av resultaten fanns över hela linjen. Bara för att du har en Fitbit Surge och inte en Fitbit Charge betyder inte att du är säker.
Vem bryr sig?
Men vänta, kanske du säger, jag bryr mig inte om vem som ser mina data; Jag är stolt över min kondition! Rapporten konstaterar en hel del orsaker till att denna inställning kan vara naiv. Till exempel erbjuder vissa sjukförsäkringsbolag lägre priser till kunder som bevisar sin kondition med hjälp av en tracker. En skrupelfri användare kan kapa en mer passande grannars data för att få lägre ränta, eller stjäla uppgifterna och hålla dem för lösning.
Om enhetens data inte är säkrade, kan de väl ändras från utsidan. "Det kommer inte att dröja länge innan barnen kommer att spela pranks på den jogga yuppie genom att öka hans blodtryck och pulsdata med några hak, " konstaterar rapporten, "och därmed ge hypokonder ännu fler saker att oroa dig för." I rapporten redovisas faktiskt hur lätt forskarna lyckades ta över en viss enhet.
Bluetooth Promiscuity
Alla testade spårare använder Bluetooth för att ansluta till en Android-app. När den är korrekt implementerad kan Bluetooth-parning vara ganska säker. Sony Smartband Talk SWR30, Polar Loop och Withings Pulse Ox blir osynliga för andra enheter när de har parats ihop med din telefon. Garmin Vivosmart och Huawei TalkBand B1 kräver autentisering för parning. Jawbone Up24 och LG Lifeband Touch FB84 går längre, vilket kräver fysisk åtkomst till enheten för parning.
De återstående två, Acer Liquid Leap och Fitbit Charge, säkerställer inte BlueTooth-anslutningen alls. Speciellt Fitbit Charge kommer att kopplas ihop med alla Bluetooth-enheter som är inom räckvidd, och data med vanlig text är inte skyddade alls. Jawbone- och Huawei-produkterna är inte så vidöppna, men de kommer att kopplas ihop med mer än en enhet. När det gäller Acer Liquid Leap verkar det kräva autentisering med hjälp av en PIN-kod, men koden är statiskt härledd från enhetens offentliga namn.
Säkra appen
Android-program skiljer sig från de kompilerade körbara program som körs under Windows. Vem som helst kan dekompilera ett Android-program tillbaka till dess källkod med lätt tillgängliga verktyg. En hackare kan använda den källkoden för att avgöra hur en fitness-app kommunicerar med motsvarande tracker och skriva en förfalskad app för att ta över den kommunikationen.
Smarta Android-programmerare använder verktyg och tekniker för att dölja programkoden, vilket gör omvänd konstruktion svårt. De stänger också av loggfunktioner som är användbara under skapandet av programmet, men som ger bort interna appdetaljer. Och naturligtvis sammanställer de den slutliga versionen med felsökning avstängd.
Endast två av de testade produkterna, Jawbone Up24 och Sony Smartband Talk SWR30, använde alla dessa tre tekniker. Huawei och Withings släppte felsökningskod med loggning aktiverad och använde endast begränsad dämpning. Acer och LG Lifeband gjorde inga försök att folja omvänd teknik.
AV-Tests forskare skapade enkelt en falsk app som kunde suga data från Acer-enheten. De lyckades till och med ändra enhetens interna poster, så att "dagens träning slutfördes på bara några sekunder, utan att bryta svett."
Dåliga nyheter, goda nyheter
Om du har rotat din telefon är du mycket mer sårbar för alla typer av hacking, inklusive fitness tracker-hacking. Den goda nyheten är att alla testade enheter korrekt lagrar sina data i skyddat minne. De dåliga nyheterna är att om du har rotat din telefon är det minnet inte längre skyddat.
Fler goda nyheter - alla testade appar skyddade sina data korrekt i transit till molnet. De krypterade uppgifterna och överförde dem med
- De bästa träningsspårarna för 2019 De bästa fitnessspårarna för 2019
- Jawbone UP24 Jawbone UP24
- Withings Pulse O2 Withings Pulse O2
- Sony SmartBand SWR10 Sony SmartBand SWR10
Vinnare och förlorare
Den fullständiga rapporten går i detalj om exakt vad forskarna lärde sig, och den visar att tillgänglig säkerhet inom detta produktområde varierar mycket. Ett praktiskt diagram identifierar 11 viktiga punkter för fitness tracker-säkerhet. Överst missade Sony Smartband Talk SWR30 bara en - du kan inte inaktivera Bluetooth från spåraren. Polar Loop missade samma poäng och gjorde inte heller allt möjligt mot omvänd teknik, men det är fortfarande ganska bra.
I den andra änden av spektrumet missade Acer Liquid Leap nio av de 11 poäng. Det fick kredit för att hålla data i skyddat minne och delvis kredit för att skydda intern kommunikation; det är allt. Fitbit Charge missade åtta säkerhetselement, inklusive alla som är relaterade till skydd av Bluetooth-kommunikation.
AV-Tests team meddelade formellt alla leverantörer om sina resultat. De planerar ytterligare undersökningar när leverantörerna har haft tid att intensifiera sitt säkerhetsspel.
