Bűnözőket is segíthetnek az okoskütyük

Az elmúlt években a kiberbiztonsági szektor számos alkalommal hívta fel a figyelmet arra, hogy a személyes adatok nagyon értékes árucikké váltak a szinte korlátlan számú visszaélési lehetőség következményeként – az áldozatok kifinomult profilozásától kezdve a felhasználói viselkedés előrejelzéséig számos módon felhasználhatók. Az erősödő fogyasztói tudatosság ellenére a személyes adatokkal való visszaélések száma folyamatosan növekszik, ugyanis sokan fordítják figyelmüket az online platformok és az adatgyűjtési módszerek felé.

Az egészséges életmód is egyre népszerűbb, és sokan használnak okoseszközöket és/vagy alkalmazásokat annak érdekében, hogy fenntartsák, illetve elősegítsék ezt az életvitelt. De ez veszélyes következményekkel járhat – hívják fel a figyelmet szakértők. Ezeket az okoskészülékeket, például az okosórákat vagy a fitneszkarkötőket gyakran használják a sporttevékenységek kiegészítőjeként. Sok készüléknek van olyan beépített szenzora, amely képes a gyorsulást is mérni, és sokszor kapcsolódik valamilyen forgó érzékelőhőz, például giroszkóphoz azért, hogy pontosabb legyen a lépésszámláló, valamint a felhasználó aktuális pozíciójának azonosítása. Szakértők éppen ezért úgy döntöttek, hogy alaposabban is megvizsgálják ezeket a készülékeket és azt, hogy milyen információkhoz képesek hozzájutni ezek által illetéktelenek. Egy meglehetősen egyszerű alkalmazást fejlesztettek, amely beépített gyorsulásmérőkből és giroszkópból származó jeleket rögzített. A rögzített adatokat ezután egy hordozható eszköz memóriájába vagy egy Bluetoothszal párosított mobiltelefonra töltötték fel.

Matematikai algoritmusok és az alkalmazásból nyert adatok segítségével azonosítani lehetett a viselkedési mintákat, valamint a tevékenységek időtartamát, kezdetét és végét. A legfontosabb azonban, hogy olyan érzékeny felhasználói tevékenységeket is képesek voltak azonosítani, mint például a jelszó beírása a számítógépbe (96 százalékos pontossággal), a PIN-kód megadása az ATM készülékeken (87 százalékos eredményességgel) és a mobiltelefonok feloldása (64 százalékban bizonyult eredményesnek).

Maga a jel- és az adatkészlet az adott eszköz tulajdonosára jellemző egyedi viselkedésminta. Ezekkel az adatokkal harmadik fél megpróbálhatja azonosítani a felhasználót – akár egy regisztrációs szakaszban lévő e-mail-cím segítségével, akár az Android-fiók hitelesítő adataihoz való hozzáféréssel. Ez után már csupán idő kérdése, hogy egy felhasználót részletesen föl lehessen térképezni, beleértve a napi rutinját és azt is, hogy mikor oszt meg értékes adatot. Mivel a felhasználói adatok értéke gyorsan nő, nem lesz meglepő, ha ezeket az adatokat rövid idő alatt tudják értékesíteni a kiberbűnözők.

A kapott jeleket aztán dekódolhatják neurális hálózatok segítségével, vagy akár lehallgatókészüléket is elhelyezhetnek az áldozat leggyakrabban látogatott ATM készülékénél. Már láthattunk példát arra, hogy a kiberbűnözők 80 százalékos eredményességgel próbálnak gyorsulásmérő jelek dekódolásával jelszavakat, valamint az okosórán tárolt adatok segítségével PIN-kódot kinyerni.

A kutatók az alábbiakat javasolják okoskészülékek használata esetén:

1. Ha az alkalmazás kérelmet küld a felhasználói adatok lekérésére, akkor legyünk óvatosak, mivel ennek segítségével a bűnözők könnyen létrehozhatják a tulajdonos „digitális ujjlenyomatát”.

2. Ha az alkalmazás kérelmet küld a földrajzi adatok elküldésére, akkor különösen legyen óvatos. Ne adjon a fitneszkarkötőjéhez tartozó alkalmazásnak extra jogosultságokat.

3. Ne használjuk az ilyen készülékekhez a vállalati e-mail-címünket bejelentkezéshez.

4. A készülék gyors akkumulátorfogyasztása is aggodalomra adhat okot. Ha a modul néhány óra után lemerül, akkor ellenőrizze a tevékenységét. Elképzelhető, hogy adatokat továbbít jogosulatlanoknak.