E fácil espionar um usuário de smartwatch?

Investigamos a interceptação de dados do sensor de movimento do smartwatch para monitorar pessoas e roubar informações.

Um smartwatch pode ser usado para espionar seu dono? Claro, e já conhecemos muitas maneiras. Mas aqui está outro: um aplicativo de espionagem instalado em um smartphone pode enviar dados dos sensores de movimento integrados (ou seja, acelerômetro e giroscópio) para um servidor remoto, e esses dados podem ser usados ​​para juntar as ações do usuário - andar, sentar, digitação e assim por diante.

 

Qual é a extensão da ameaça na prática e quais dados podem realmente ser desviados? Decidimos investigar.

 

 

Experiência: os movimentos do smartwatch podem revelar uma senha?

 

Começamos com um smartwatch baseado em Android, escrevemos um aplicativo simples para processar e transmitir dados do acelerômetro e analisamos o que poderíamos obter desses dados. Para mais detalhes, veja nosso relatório completo.

 

[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]

 

Os dados podem ser usados ​​para descobrir se o usuário está caminhando ou sentado. Além disso, é possível cavar mais fundo e descobrir se a pessoa está passeando ou trocando de trem - os padrões do acelerômetro diferem ligeiramente; é também assim que os rastreadores de condicionamento físico diferenciam, digamos, caminhada e ciclismo.

 

Também é fácil ver quando uma pessoa está digitando em um computador. Mas descobrir o que eles estão digitando é muito mais complexo. Todo mundo tem uma maneira específica de digitar: o método dos dez dedos, o teclado de um ou dois dígitos ou algo intermediário. Basicamente, diferentes pessoas digitando a mesma frase podem produzir sinais de acelerômetro muito diferentes - embora uma pessoa digitando uma senha várias vezes seguidas produza gráficos muito semelhantes.

 

Portanto, uma rede neural treinada para reconhecer como um determinado indivíduo insere o texto poderia perceber o que essa pessoa digita. E se essa rede neural for treinada em sua maneira particular de digitar, os dados do acelerômetro do smartwatch em seu pulso podem ser usados ​​para reconhecer uma senha com base em seus movimentos de mão.

 

No entanto, o processo de treinamento exigiria que a rede neural o rastreasse por um longo tempo. Os processadores em dispositivos portáteis modernos não são poderosos o suficiente para executar uma rede neural diretamente, então os dados devem ser enviados a um servidor.

 

E aí está o problema para um suposto espião: o upload constante de leituras do acelerômetro consome uma boa parte do tráfego da Internet e elimina a bateria do smartwatch em questão de horas (seis, para ser preciso, no nosso caso). Ambos os sinais reveladores são fáceis de detectar, alertando o usuário de que algo está errado. Ambos, no entanto, são facilmente minimizados pela coleta seletiva de dados, por exemplo, quando o alvo chega ao trabalho, um momento provável para a digitação da senha.

 

Resumindo, seu smartwatch pode ser usado para identificar o que você está digitando. Mas é difícil e a recuperação precisa depende da repetição da entrada de texto. Em nosso experimento, fomos capazes de recuperar uma senha de computador com 96% de precisão e um código PIN inserido em um caixa eletrônico com 87% de precisão.

 

Poderia ser pior

 

Para os cibercriminosos, no entanto, esses dados não são tão úteis. Para usá-lo, eles ainda precisam acessar seu computador ou cartão de crédito. A tarefa de determinar um número de cartão ou código CVC é muito mais complicada.

 

Aqui está o porquê. Ao retornar ao local de trabalho, a primeira coisa que o proprietário do smartwatch digita é quase com certeza uma senha para desbloquear o computador. Ou seja, o gráfico do acelerômetro indica primeiro andar e depois digitar. Com base nos dados obtidos apenas para este breve período, é possível recuperar a senha.

 

Mas a pessoa não entra com o número do cartão de crédito assim que se senta - ou se levanta e sai imediatamente após inserir os dados. Além do mais, ninguém jamais inserirá essas informações várias vezes em uma sucessão curta.

 

Para roubar informações de entrada de dados de um smartwatch, os invasores precisam de atividade previsível seguida por dados inseridos várias vezes. A última parte, aliás, é mais um motivo para não usar a mesma senha para serviços diferentes.

 

Quem deve se preocupar com smartwatches?

 

Nossa pesquisa mostrou que dados obtidos de um sensor de aceleração de smartwatch podem ser usados ​​para recuperar informações sobre o usuário: movimentos, hábitos, algumas informações digitadas (por exemplo, uma senha de laptop).

 

Infectar um smartwatch com malware de desvio de dados que permite que os criminosos cibernéticos recuperem essas informações é bastante simples. Eles só precisam criar um aplicativo (digamos, um relógio da moda ou um rastreador de fitness), adicionar uma função para ler os dados do acelerômetro e fazer o upload para o Google Play. Em teoria, esse aplicativo passará pela triagem de malware, já que não há nada aparentemente malicioso no que ele faz.

 

Você deve se preocupar em ser espionado por alguém que usa essa técnica? Só se essa pessoa tiver uma forte motivação para espionar você, especificamente. O cibercriminoso médio está atrás de escolhas fáceis e não terá muito a ganhar.

 

Mas se a senha do seu computador ou a rota para o escritório são valiosos para alguém, um smartwatch é uma ferramenta de rastreamento viável. Nesse caso, nosso conselho é:

 

Tome nota se o seu smartwatch consome muito tráfego ou se a bateria se esgota rapidamente.

Não dê permissões demais aos aplicativos . Em particular, esteja atento aos aplicativos que desejam recuperar informações da conta e coordenadas geográficas. Sem esses dados, os invasores terão dificuldade para verificar se é o seu smartwatch que eles infectaram.

Instale uma solução de segurança em seu smartphone que pode ajudar a detectar spyware antes que comece a espionar.

 

 

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.


Strong

3733 Blog Postagens

Comentários