Czy smartwatche i opaski fitness mogą zdradzić PIN?

Czy smartwache i opaski fitness mogą zdradzić pin

W dzisiejszych czasach coraz więcej osób poza smartfonami, ma przy sobie jeszcze jedno inteligentne urządzenie – smartwatcha lub opaskę fitness. Ich zastosowanie może być różne, ale z reguły chodzi o monitorowanie funkcji życiowych i sportowych, a następnie prezentowanie ich na ekranie telefonu lub komputera. Sama idea tego typu urządzeń jest ciekawa, gdyż pomaga poprawić wyniki w sporcie, lepiej zaplanować ćwiczenia, a także dbać o zdrowie. Inne funkcje smartwatcha i opasek, to wyświetlanie powiadomień o nowych wiadomościach, mailach czy połączeniach, które przychodzą na nasz telefon. Jednak podczas wymieniania tych wszystkich zalet, warto zastanowić się, na ile bezpieczne jest to rozwiązane. Jakby nie patrzeć, mamy do czynienia ze sprzętem, który śledzi naszą aktywność i lokalizację.

Śledzenie ręki…

Biorąc pod uwagę fakt, że sprzęt tego typu nosimy na ręce, to po wyciągnięciu odpowiednich danych możliwe jest śledzenie pozycji ręki np. w czasie podawania kodu pin. W 2015 roku badaczom udało się udowodnić tę tezę. Bardzo często smartwatche posiadają wbudowany akcelerometr i inne moduły, które odpowiednio użyte, mogą zdradzić aktualne ustawienie i położenie ręki. Projekt Deep-Spying[1], którego autorami są Tony Baltramelli oraz Sebastian Risi, pokazuje, że użycie tych informacji w złych intencjach jest możliwe. Badacze analizę zebranych danych powierzyli sztucznym sieciom neuronowym, dzięki czemu byli w stanie wykryć jaki kod PIN wpisuje osoba z założonym smartwatchem. Bardzo dobrze obrazuje to poniższy film:

Do podobnych wniosków doszli także inni badacze, z projektu MoLe[2] (Motion Leaks). Swoimi spostrzeżeniami badacze podzielili się podczas konferencji MobiCom 2015. Pokazali oni, że aplikacja, która udaje np. program treningowy czy krokomierz, może zbierać wiele informacji o właścicielu smartwatcha, a następnie wywnioskować co napisał. W tym przypadku również zostały wykorzystane wbudowane podzespoły, takie jak akcelerometr czy żyroskop. Oczywiście tym sposobem istnieje możliwość sprawdzenia nie tylko kodu PIN, ale także tego co dana osoba pisała na klawiaturze.

Źródło: https://www.ece.illinois.edu/newsroom/article/11762

Rozwiązanie?

Jak sugerują sami badacze projektu MoLe, jedną z metod na zwiększenie bezpieczeństwa jest zmniejszenie próbkowania czujników, wbudowanych w zegarek. Przykładowo, jeżeli zegarek zbiera 300 informacji z różnych podzespołów na sekundę, pozwala to bardzo dokładnie ustalić położenie ręki w każdej milisekundzie. Jeżeli producenci zdecydują się zmniejszyć tą wartość do mniej niż 15 informacji na sekundę, okaże się, że dokładne śledzenie nadgarstka jest praktycznie niemożliwe.

Dobrą wiadomością jest też to, że znając ruchy nadgarstka, ciężko jest określić kiedy śledzona osoba używa cyfr, a kiedy znaków specjalnych. Dodatkowo zbierane informacje pochodzą z jednej ręki, co wymaga żmudnej analizy wpisywanych znaków i odgadywania o jakie słowo chodziło. Pozostaje mieć nadzieję, że kolejne generacje inteligentnych zegarków i opasek będą lepiej zabezpieczone przed możliwością analizy zebranych informacji.

[1] https://arxiv.org/abs/1512.05616
[2] https://www.ece.illinois.edu/newsroom/article/11762