Hardware

Smartwatches podem ser usados para espionar usuários

148views

Uma nova pesquisa mostra que os smartwatches, ou relógios inteligentes, podem se tornar instrumentos para espionar seus usuários. Coletando sinais silenciosos do acelerômetro – responsável por detectar e medir vibrações –  e giroscópio – utilizados em instrumentos como as bússolas –, depois de analisados, se transformam em conjuntos de dados exclusivos do proprietário do dispositivo.

Esses conjuntos de dados, se usados impropriamente, permitem monitorar atividades, inclusive a inserção de informações sigilosas. Essas são as conclusões da nova análise da Kaspersky Lab sobre o impacto que a disseminação da IoT pode ter sobre a vida diária dos usuários e a segurança de suas informações.

Embora o receio dos consumidores em relação à exploração de informações pessoais esteja aumentando, e muitos deles estejam prestando atenção às plataformas online e aos métodos de coleta de dados, outras fontes de ameaças menos óbvias continuam em aberto. Por exemplo, para ajudar a manter um estilo de vida saudável, muitos de nós usamos monitores de condição física para controlar nossas atividades físicas e esportivas – mas isso pode ter consequências perigosas.

Wearables sabem muito da nossa vida

Os dispositivos wearable inteligentes, incluindo smartwatches e pulseiras de atividade, são usados comumente durante as atividades esportivas para monitorar saúde e receber notificações por push, etc. Para realizar suas funções principais, a maioria desses dispositivos é equipada com sensores de aceleração (acelerômetros) internos, muitas vezes combinados com sensores de rotação (giroscópios) para contagem de passos e identificação da posição do usuário.

Os especialistas da Kaspersky Lab resolveram examinar quais informações do usuário esses sensores poderiam fornecer para terceiros não autorizados, e analisaram mais de perto vários relógios inteligentes de diferentes fornecedores.

Para examinar a questão, os especialistas desenvolveram um aplicativo para smartwatch bastante simples, que registra os sinais dos acelerômetros e giroscópios integrados. Os dados registrados são salvos na memória do dispositivo wearable ou carregado no celular emparelhado via Bluetooth.

Usando algoritmos matemáticos disponíveis para a capacidade de computação do wearable inteligente, foi possível identificar padrões de comportamento, os momentos e locais em que o usuário estava em movimento e por quanto tempo isso aconteceu. Mais importante, foi possível identificar atividades sigilosas do usuário, incluindo inserção de senhas no computador (com precisão de até 96%), inserção de um código PIN no caixa eletrônico (aproximadamente 87%) e desbloqueio do celular (aproximadamente 64%).

O próprio conjunto de dados de sinais é um padrão de comportamento exclusivo do proprietário do dispositivo. Usando isso, um terceiro poderia ir além e tentar definir a identidade do usuário por meio de um endereço de e-mail solicitado na fase de registro no aplicativo ou pela ativação do acesso às credenciais de conta do Android. Depois disso, é questão de tempo até a identificação detalhada das informações da vítima, incluindo sua rotina diária e os momentos de inserção de dados importantes. E, considerando o preço cada vez maior dos dados particulares de usuários, podemos nos ver facilmente em uma situação em que esse vetor será transformado em dinheiro.

Imaginação dos criminosos não tem limites

Mesmo que essa exploit não seja explorada financeiramente, mas usada por criminosos virtuais em seus próprios objetivos maliciosos, as possíveis consequências são limitadas somente pela imaginação e o nível de conhecimento técnico dos criminosos. Por exemplo, eles poderiam descriptografar os sinais recebidos usando redes neurais, armar ciladas para as vítimas ou instalar skimmers em seus caixas eletrônicos favoritos.

Também já observamos que os criminosos podem alcançar 80% de precisão ao tentar descriptografar sinais do acelerômetro e identificar senhas ou PINs usando apenas os dados coletados pelos sensores de relógios inteligentes.

“Os wearables inteligentes não são apenas dispositivos em miniatura; são sistemas físico-cibernéticos capazes de registrar, armazenar e processar parâmetros físicos. Nossa pesquisa mostra que mesmo algoritmos muito simples, executados no próprio smartwatch, são capazes de capturar o perfil de sinais do acelerômetro e do giroscópio exclusivo do usuário.

Esses perfis podem, então, ser usados para “eliminar o anonimato” do usuário e rastrear suas atividades, inclusive os momentos em que estão inserindo informações sigilosas. Isso pode ser feito usando aplicativos legítimos do relógio inteligente, que enviam dados de sinais secretamente para terceiros”, disse Sergey Lurye, entusiasta de segurança e coautor da pesquisa da Kaspersky Lab.

Fonte: Kaspersky/Assessoria de Imprensa

Deixe um comentário

Wikerson Landim
Wikerson Landim é graduado em Jornalismo e Comércio Exterior e tem especialização em Comunicação Audiovisual. Durante 7 anos, foi editor do site TecMundo, tendo participado de dezenas de eventos nacionais e internacionais.