Video: Fakta Data: Awas! Lindungi Data Pribadi Anda (Oktober 2024)
Ketika Anda mencapai 10.000 langkah atau mencapai tujuan pelacak kebugaran lainnya, Anda ingin berbagi prestasi Anda dengan teman, bukan? Bergantung pada perangkat yang Anda gunakan, Anda mungkin juga membagikan informasi pribadi Anda dengan dunia, atau dengan semua orang di sekitarnya. Para peneliti di AV-Test Institute menganalisis keamanan sembilan pelacak kebugaran populer, dan beberapa temuan mereka tidak cantik.
Singkatnya, Fitbit Charge dan Acer Liquid Leap sama sekali tidak mengamankan koneksi Bluetooth mereka. Itu berarti data Anda dapat digesek. Jawbone Up24 dan Sony Smartband Talk SWR30 melakukan pekerjaan terbaik untuk melindungi data pengguna.
Tentu saja hanya satu item di lini produk masing-masing perusahaan yang diuji, tetapi kehati-hatian menentukan asumsi temuan berlaku di seluruh papan. Hanya karena Anda memiliki Surge Fitbit dan bukan Fitbit Charge bukan berarti Anda aman.
Siapa peduli?
Tapi tunggu, bisa dibilang, saya tidak peduli siapa yang melihat data saya; Saya bangga dengan kebugaran saya! Laporan tersebut mencatat beberapa alasan mengapa sikap ini naif. Misalnya, beberapa perusahaan asuransi kesehatan menawarkan tarif yang lebih rendah kepada pelanggan yang membuktikan kebugaran mereka menggunakan pelacak. Pengguna yang tidak bertanggung jawab dapat membajak data tetangga yang lebih sesuai untuk mendapatkan tarif yang lebih rendah, atau mencuri data dan menyimpannya untuk tebusan.
Jika data perangkat tidak diamankan, itu bisa dimodifikasi dari luar. "Tidak akan lama sebelum anak-anak akan bermain preman di jogging yuppie dengan meningkatkan tekanan darah dan data nadi dengan beberapa takik, " catat laporan itu, "dengan demikian memberikan lebih banyak hal yang perlu dikhawatirkan oleh para penderita hipokondria." Memang, laporan itu merinci betapa mudahnya para peneliti berhasil mengambil alih satu perangkat tertentu.
Promiscuity Bluetooth
Semua pelacak yang diuji menggunakan Bluetooth untuk terhubung dengan aplikasi Android. Ketika diterapkan dengan benar, pemasangan Bluetooth bisa sangat aman. Sony Smartband Talk SWR30, Polar Loop, dan Withings Pulse Ox menjadi tidak terlihat oleh perangkat lain yang pernah dipasangkan dengan telepon Anda. Garmin Vivosmart dan Huawei TalkBand B1 memerlukan otentikasi untuk pemasangan. Jawbone Up24 dan LG Lifeband Touch FB84 melangkah lebih jauh, membutuhkan akses fisik ke perangkat untuk pemasangan.
Dua sisanya, Acer Liquid Leap dan Fitbit Charge, sama sekali tidak mengamankan koneksi BlueTooth. Fitbit Charge secara khusus akan berpasangan dengan perangkat Bluetooth apa pun yang berada dalam jangkauan, dan data teks biasa tidak dilindungi sama sekali. Produk Jawbone dan Huawei tidak terbuka lebar, tetapi mereka akan berpasangan dengan lebih dari satu perangkat. Adapun Acer Liquid Leap, tampaknya memerlukan otentikasi menggunakan kode PIN, tetapi kode tersebut secara statis berasal dari nama publik perangkat.
Mengamankan Aplikasi
Program Android berbeda dari program yang dapat dieksekusi yang dikompilasi yang berjalan di Windows. Siapa saja dapat mendekompilasi program Android kembali ke kode sumbernya menggunakan alat yang tersedia. Seorang peretas dapat menggunakan kode sumber itu untuk menentukan bagaimana sebuah aplikasi kebugaran berkomunikasi dengan pelacak yang terkait, dan menulis aplikasi palsu untuk mengambil alih komunikasi itu.
Pemrogram Android yang pandai menggunakan alat dan teknik untuk mengaburkan kode program, membuat rekayasa balik menjadi sulit. Mereka juga mematikan fitur logging yang berguna selama pembuatan program, tetapi itu memberikan detail aplikasi internal. Dan tentu saja mereka mengkompilasi versi final dengan debugging dimatikan.
Hanya dua dari produk yang diuji, Jawbone Up24 dan Sony Smartband Talk SWR30, menggunakan ketiga teknik ini. Huawei dan Withings merilis kode debug dengan logging dihidupkan, dan hanya menerapkan kebingungan terbatas. Acer dan LG Lifeband, tidak berusaha untuk menggagalkan rekayasa balik.
Peneliti AV-Test dengan mudah membuat aplikasi palsu yang dapat menyedot data dari perangkat Acer. Mereka bahkan berhasil mengubah catatan internal perangkat, sehingga "latihan hari itu selesai hanya dalam beberapa detik, tanpa berkeringat."
Berita Buruk, Kabar Baik
Jika Anda telah me-rooting ponsel Anda, Anda jauh lebih rentan terhadap semua jenis peretasan, termasuk peretasan pelacak kebugaran. Berita baiknya adalah semua perangkat yang diuji menyimpan data mereka dengan benar dalam memori yang dilindungi. Berita buruknya adalah jika Anda telah melakukan rooting pada ponsel Anda, memori itu tidak lagi terlindungi.
Lebih banyak berita baik - semua aplikasi yang diuji dengan benar melindungi data mereka dalam perjalanan ke cloud. Mereka mengenkripsi data, dan mengirimkannya menggunakan
- Pelacak Kebugaran Terbaik untuk 2019 Pelacak Kebugaran Terbaik untuk 2019
- Jawbone UP24 Jawbone UP24
- Withings Pulse O2 Withings Pulse O2
- Sony SmartBand SWR10 Sony SmartBand SWR10
Pemenang dan Pecundang
Laporan lengkap menjelaskan secara rinci apa yang dipelajari para peneliti, dan itu menunjukkan bahwa keamanan yang tersedia di bidang produk ini sangat bervariasi. Bagan praktis mengidentifikasi 11 poin penting untuk keamanan pelacak kebugaran. Di bagian atas, Sony Smartband Talk SWR30 hanya melewatkan satu - Anda tidak dapat menonaktifkan Bluetooth dari pelacak. Polar Loop melewatkan titik yang sama, dan juga tidak melakukan segala yang mungkin terhadap reverse-engineering, tapi itu masih cukup bagus.
Di ujung lain spektrum, Acer Liquid Leap kehilangan sembilan dari 11 poin. Itu mendapat kredit untuk menyimpan data dalam memori yang dilindungi dan kredit parsial untuk menjaga komunikasi internal; itu saja. Fitbit Charge melewatkan delapan elemen keamanan, termasuk semua yang terkait dengan melindungi komunikasi Bluetooth.
Tim AV-Test secara resmi memberi tahu semua vendor tentang temuan mereka. Mereka merencanakan penyelidikan lebih lanjut setelah vendor memiliki waktu untuk meningkatkan permainan keamanan mereka.
