Популярность этих устройств постоянно растет. В первом квартале 2016 года по всему миру было продано около 20 миллионов фитнес-трекеров. Многие из них отслеживают с помощью GPS километры, которые пробегает пользователь, измеряют частоту сердечных сокращений и пульс или проверяют, спит ли пользователь. «Эти данные используются не только для первоначальной цели, но и все чаще используются третьими сторонами», — объясняет профессор Садеги.
Данные, собранные фитнес-трекерами, использовались в качестве доказательств в судебных процессах в США, как сообщал журнал Forbes в 2014 году. Полиция и прокуроры начали признавать носимые устройства «черным ящиком» человеческого тела, писала в апреле NY Daily News 2016. Некоторые медицинские страховые компании недавно начали предлагать скидки, если застрахованные лица предоставляют личные данные со своих фитнес-трекеров.
Это может привлечь мошенников, которые манипулируют отслеживаемыми данными, чтобы обманным путем получить финансовую выгоду или даже повлиять на судебный процесс, говорит Садеги. Тем более важно, чтобы передача, обработка и хранение конфиденциальных личных данных соответствовали высоким стандартам безопасности.Чтобы выяснить это, Садеги и его команда в сотрудничестве с Университетом Падуи (Италия) провели исследование 17 различных фитнес-трекеров, включая устройства менее известных производителей, а также устройства таких популярных брендов, как Xiaomi, Garmin и Jawbone. Исследователи сконцентрировались на манипулировании данными на пути к облачному серверу с помощью атаки «человек посередине» и изучили безопасность протоколов связи, используемых фитнес-трекерами.
Результат: хотя все облачные системы отслеживания используют зашифрованный протокол, такой как HTTPS, для передачи данных, исследователям во всех случаях удавалось фальсифицировать данные. Из всех изученных фитнес-трекеров только устройства от четырех производителей приняли некоторые незначительные меры для защиты целостности данных, то есть для обеспечения того, чтобы данные оставались нетронутыми и неизменными. «Эти препятствия не могут остановить мотивированного злоумышленника.
Мошенники могут манипулировать данными даже с очень небольшими знаниями в области ИТ», — предупреждает Садеги, поскольку ни один из трекеров не использует сквозное шифрование или другие эффективные меры защиты от несанкционированного доступа при синхронизации данных.Пять из исследованных фитнес-трекеров не позволяли синхронизировать фитнес-данные с онлайн-сервисом. Однако эти производители хранят собранные фитнес-данные в виде обычного текста, то есть в незашифрованном и доступном для чтения всем, на смартфоне, что создает потенциальный риск несанкционированной утечки данных в случае кражи смартфона или заражения вредоносным ПО. Это еще один серьезный недостаток безопасности фитнес-трекеров, обнаруженный исследователями из Дармштадского технического университета и Университета Падуи.
«Страхование здоровья и все другие компании, которые хотят использовать фитнес-трекеры для своих услуг, должны посоветоваться с экспертами по безопасности, прежде чем делать это», — предлагает Садеги. Недостатки, обнаруженные в исследовании, могут быть исправлены с помощью известных стандартных технологий, «просто производители должны приложить больше усилий для использования этих технологий в своих продуктах».