שעונים חכמים יכולים להפוך לכלי ריגול

יום א', 10 ביוני 2018

 

 

מחקר חדש מראה כי שעונים חכמים יכולים להפוך לכלי ריגול כנגד בעליהם. איסוף שקט של נתונים ממד התאוצה והג'יירוסקופ וניתוח שלהם, יכולים לשמש כדי לזהות פעילות ייחודית של בעלי שעון החכם. מערך הנתונים הזה, אם נעשה בו שימוש לרעה, מאפשר לנטר פעילות של משתמש, כולל זיהוי כאשר הוא מזין מידע רגיש לכספומט או בטלפון הנייד. אלו הם ממצאים חדשים מניתוח שביצעה מעבדת קספרסקי לגבי השפעות אפשריות של התרחבות השימוש ב-IoT על חיי המשתמשים ואבטחת המידע שלהם.

בשנים האחרונות, נתונים פרטיים של משתמשים הפכו למוצר בעל ערך כתוצאה מאפשרויות השימוש בהם על ידי עברייני סייבר – החל מבניית פרופיל קורבן דיגיטלי ועד ליצירת תחזיות שוק על התנהגות משתמשים. בעוד הפחד של משתמשים לגבי שימוש בלתי ראוי במידע האישי שלהם הולך וגובר, בעיקר לגבי איסוף נתונים המתרחש בפלטפורמות דיגיטליות, קיימים מקורות אחרים לאיסוף נתונים, מובהקים פחות ולכן גם מוגנים פחות. לדוגמא, כדי לשמור על אורח חיים בריא, רבים מאיתנו משתמשים בצמידי כושר או שעונים חכמים כדי לנטר פעילות גופנית. אבל כפי שמראה המחקר של מעבדת קספרסקי, הדבר גם יכול להביא גם לתוצאות מסוכנות. 

מכשירים לבישים חכמים, כולל שעונים חכמים וצמידי כושר, נמצאים בשימוש נרחב במסגרת פעילות גופנית, לשם ניטור מדדים מסוימים, לקבלת הודעות וכו'. כדי לבצע את תפקידיהם המרכזיים, רוב המכשירים האלה מצוידים בחיישני תאוצה (accelerometers), שלעיתים קרובות משולבים בחיישני רוטציה (ג'יירוסקופ), המאפשרים מדידת צעדים ומיקום המשתמש. חוקרי מעבדת קספרסקי החליטו לבדוק אילו נתוני משתמש יכולים החיישנים האלה לספק לגורם חיצוני – ולשם כך הם לקחו לבדיקה שעונים חכמים ממספר ספקים.

כדי לבחון את הבעיה, המומחים פיתחו אפליקציה פשוטה יחסית לשעון חכם, אשר מקליטה אותות המגיעים מחיישני התאוצה והרוטציה. המידע נשמר בזיכרון המכשיר הלביש או שודר דרך בלוטות' לטלפון נייד.

באמצעות אלגוריתם מתמטי שניתן להפעיל עם עוצמת מחשוב של שעון חכם, זיהו החוקרים תבניות פעולה, זמנים ומיקומים בהם המשתמשים היו בתנועה, ואורך הזמן בהם עשו זאת. חשוב מכך, הם הצליחו לזהות פעולות רגישות של משתמש, כולל הזנה של סיסמא למחשב (ברמת דיוק של 96%), הקלדת קוד בכספומט (ברמת דיוק של 87%) ופתיחת הטלפון הנייד (ברמת דיוק של 64%).

מערך הנתונים שמתקבל מניטור שכזה מספק תבנית התנהגות ייחודית של בעל המכשיר. באמצעות שימוש במערך שכזה, גורם חיצוני יכול להתקדם ולנסות לזהות את המשתמש עצמו – בין אם באמצעות שילוב כתובת הדואר האלקטרוני שהוזנה בשלב הרישום לאפליקציה או באמצעות הרשאות גישה לחשבון האנדרואיד במכשיר. לאחר מכן, זה רק עניין של זמן עד שיתקבל מידע מפורט על הקורבן, כולל סדר יום ורגעים בהם הוא מזין מידע רגיש. בהינתן השווי הגובר של נתוני משתמשים פרטיים, אנו יכולים למצוא את עצמנו במהירות בעולם בו גופים מנסים לנטר סוג זה של מידע.

אבל גם אם המידע לא יימכר ישירות בתמורה לכסף, עבור עברייני הסייבר השימוש בנתונים הללו מוגבל רק על ידי הדמיון והיכולות הטכנולוגיות שלהם. לדוגמא, הם יכולים לפצח את האותות המתקבלים באמצעות רשתות נוירונים, ולארוב לקורבנות או להתקין "סקימרים" (מכשירים לאיסוף קוד כספומט) במכשיר הכספומט המועדף על הקורבן. כבר ראינו כיצד עבריינים יכולים להשיג 80% אחוזי דיוק בפיענוח אותות ממד התאוצה ובזיהוי סיסמא.