Фитнес-браслеты и смарт часы стали очень популярным устройствами не только среди любителей спорта. Зарубежные медицинские страховые компании субсидируют покупку фитнес-трекеров или вознаграждают за их использование, потому что клиенты, занимающиеся физической активностью, обходится страховым компаниям дешевле. Вот почему исследователи AV-Test провели комплексное тестирование безопасности 7 современных фитнес-браслетов для ОС Android и смарт часов Apple Watch. В результате выявилось, что некоторые производители продолжают совершать досадные ошибки.
Проверка безопасности фитнес-трекеров: было протестировано 7 браслетов и часы Apple Watch
Результаты тестирования безопасности: в новом раунде тестирования некоторые фитнес-трекеры представили серьезный риск безопасности. В рейтинге не представлен Apple Watch, потому что устройство было протестировано отдельно.
Смарт часы и фитнес-трекеры сейчас очень популярны и рекомендуются даже компаниями, предлагающими услуги медицинского страхования. В Европе разрешается субсидирование покупки фитнес-браслетов. В США для клиентов, которые демонстрируют высокую физическую активность с помощь трекеров, предусмотрены хорошие скидки на медицинскую страховку. Например, страховая компания Oscar Health из Нью-Йорка выплачивает клиентам один доллар в день, если они достигают ежедневной фитнес-цели.
На первый взгляд текущие и прогнозные показатели продаж фитнес-браслетов должны вызвать восхищение. Согласно статистически данным IDC в 2014 году было продано более 26 миллионов фитнес-трекеров, в 2015 году - более 75 миллионов, а в 2016 году планируется продать более 100 миллионов устройств.
Постоянные высокие риски
Среда тестирования: фитнес-браслеты были подключены к смартфону, проверялись стандартные приложения от производителя и тестовое приложение, а мониторинг подключений осуществлялся с помощью прокси-сервера.
Данное испытание оценивало новейшие и самые продаваемые фитнес-браслеты, а также смарт часы Apple Watch. Все трекеры работали с соответствующим приложением на смартфоне Android. Именно поэтому в тесте результаты суммируются для трекеров и приложений. Полный отчет по результатам тестирования доступен на сайте лаборатории в виде PDF-файла.
Apple Watch представляет особый случай: некоторые методы тестирования приложений Android невозможно применить в iOS. Именно поэтому тестирование Apple Watch было проведено отдельно, отчет читайте в конце статьи. Были протестированы следующие продукты:
- Basis Peak
- Microsoft Band 2
- Mobile Action Q-Band
- Pebble Time
- Runtastic Moment Elite
- Striiv Fusion
- Xiaomi MiBand
- Apple Watch (в конце статьи)
Исследователи сосредоточили свое внимание на двух основных проблемах:
- С точки зрения конечного пользователя, защищены ли записываемые трекером или приложением данные от шпионажа и взлома третьими лицами?
- С точки зрения страховых компаний и других организаций, защищены ли данные в трекере от подделки?
Первый вопрос предполагает рассмотрение ситуации, когда злоумышленники могут использовать данные, что поставить пользователя в невыгодное положение. Второй вопрос касается страховых компаний, которые поощряют своих клиентов за достижение фитнес-целей. Если само устройство или его приложение может быть взломано с целью модификации данных, данная уязвимость может широко эксплуатироваться.
3-х этапная оценка рисков
Исследователи проверили каждый трекер по 10 тестовым критериям, разделенных на 3 области: трекер, приложение и передача данных по сети. Итоговой график рисков показывает области, в которых у участников тестирования возникли проблемы. Термины “ошибка” или “брешь в безопасности” намеренно не применялись, потому что в тестовых зонах фиксировался повышенный или высокий риск проникновения, а не 100-процентный риск. Исследователи не предпринимали попыток дальнейшего взлома потенциально уязвимой зоны. Они просто проанализировали потенциальные действия злоумышленника в этой области и возможные последствия.
Pebble Time: фитнес-браслет заработал минимальное количество очков риска в тесте, что свидетельствует о высоком уровне безопасности.
Microsoft Band 2: хотя браслет работает в Android, компания Microsoft серьезно подошла к вопросам безопасности устройства.
Striiv Fusion: устройство получило 8 из 10 очков риска и может быть классифицировано как небезопасное.
Трекер: подключение, аутентификация, защита от изменения данных
Видимость: все фитнес-трекеры используют Bluetooth для подключения к смартфону. Следовательно, в первую очередь были рассмотрены традиционные проблемы беспроводных подключений по данной технологии. Первый аспект безопасности - видимость для других устройств Bluetooth. Устройства должны быть видимыми для других устройств только время сопряжения не некоторый промежуток времени. Данная мера безопасности предлагается только браслетами от Microsoft и Pebble. Mobile Action анонсирует данную возможность, но на деле остается видимым.
BLE Privacy: Второй важный аспект безопасности Bluetooth-подключения - функция BLE Privacy, которая появилась, начиная с Android 5.0. Благодаря данной функции, устройство повторно генерирует новый Mac-адрес для беспроводного подключения Bluetooth. Фактический адрес никогда не раскрывается и не отслеживается. Данная технология используется только в Microsoft Band 2. В остальных устройствах технология не реализована.
Способность быть обнаруженным: когда устройство подключения, с технической точки зрения существует несколько возможных вариантов. Одним из самых безопасных решений является эксклюзивное сопряжение Bluetooth (трекер разрешает подключение только к одному доверенному смартфону), которое реализовано в Basis Peak and Microsoft Band 2. Pebble Time разрешает подключения с несколькими устройствами, но пользователю нужно вручную их подтверждать, что также является безопасным сценарием. Xiaomi MiBand использует простой, но безопасный метод - после успешного сопряжения, он перестает быть видимым и не разрешает другие подключения. Фитнес-браслеты от Striiv, Runtastic и Mobile Action не используют технологии защиты подключений к неизвестным устройствам.
Аутентификация: если сторонний смартфон успешно выполнил сопряжение с трекером, некоторые фитнес-устройства предлагают дополнительную функцию безопасности - аутентификацию, а именно Basis Peak, Microsoft Band 2 и Pebble Time. Хотя Xiaomi тоже использует данную технологию, ее очень просто обойти, а значит при определенных обстоятельствах она будет бесполезной. Остальные три продукта либо не предлагают подобную дополнительную безопасность, либо реализуют в недостаточной мере.
Защита от изменения данных: Этот аспект интересен не только пользователям, но и страховым компаниям и судебным органам, которые полагаются на достоверность данных трекера. Лаборатория протестировала наличие защиты целостности данных и защиты от записи или модификации данных трекера. Защита должны быть настроена таким образом, чтобы предотвращались любые попытки несанкционированного изменения и подделки данных браслета со стороны пользователя смартфона. Только продукты от Basis, Microsoft, Pebble и Xiaomi предлагают базовую защиту в данной области. Тем не менее, устройства от Xiaomi могут быть введены в заблуждение из-за слабой аутентификации. В результате третьи лица могут запустить вибрацию, изменить настройки будильника или сбросить устройство до заводских настроек.
Фитнес-трекеры от Striiv и Mobile Action не используют каких-либо адекватных методов аутентификации или других механизмов защиты, а значит являются уязвимыми для модификации данных. На Striiv Fusion значения измерений тела можно изменить до нереальных значений. Эти данные впоследствии используются для расчета пройденного расстояния и сожженных калорий. В трекере Mobile Action также можно изменить параметры веса, роста, длины шага пользователя. Эти значения были также использованы непосредственно для расчета потребленных калорий и пройденного расстояния.
Безопасность приложений и инспекция кода
Локальное хранилище: даже если технологии трекера безопасны, соответствующие приложение на смартфоне может быть слабым звеном. Вот почему во время тестирования проверялось, доступны ли данные фитнес-приложения другим установленным на устройстве приложениям. Функции безопасности для смартфонов Android без root-доступа являются достаточными для предотвращения несанкционированного доступа. Тем не менее, если данные сохраняются в неправильном месте, они доступны каждому. Xiaomi MiBand - единственный браслет, который допустил подобную ошибку. Приложение сохраняет файл журнала активности в открытой области хранилища. Журнал включает передаваемые данные, информацию о пользователе, в частности имя пользователя, измерения тела и т.д., которая также используется в процессе аутентификации.
Обфускация кода: во время второго испытания, объектом исследования служил код приложения. В частности, проверялось, использует ли приложение технологии обфускации кода. Данные технологии предотвращают реверс-инжиниринг и скрывают полезную информацию от хакеров. Приложения от Mobile Action, Pebble и Xiaomi используют обфускацию в полном объеме. Basis и Runtastic используют технологию лишь частично, что может представлять опасность. Продукты от Microsoft и Striiv совсем не применяют обфускацию, а значит соответствующие компетентные специалисты могут провести инспекцию кода.
Журналы и отладочная информация: дополнительные ошибки программирования могут вскрываться на этапе регистрации событий и вывода отладочной информации. Иногда в этих выходных данных отсутствуют важные данные, поэтому разработчики пренебрегают механизмами безопасности. Только приложение от Mobile Action полностью безопасно в этом отношении. Остальные приложения выводят информацию таким образом, что она может быть перехвачена злоумышленниками.
Безопасная передача данных по сети: в итоговой проверке участвовали все подключения приложения. Можно ли отследить подключение? Является ли оно незашифрованным? Какие именно данные передаются? Примечательно, что все подключения, которые должны быть зашифрованы, действительно были зашифрованы. Открытые HTTP подключения очень легко перехватить, поэтому, вероятно, они выполнялись в незашифрованном виде.
Кроме того, лаборатория проверяла, является ли содержимое защищенного подключения читаемым после установки корневого сертификата. Эта оценка имеет важное значение, потому что сигнализирует о том, может ли пользователь управлять передаваемыми данными. Продукты от Basis и Pebble показали, что безопасность в данной области возможна - они достаточно защищены от нежелательного доступа. В случае остальных продуктов, оставалась возможность мониторинга защищенных подключений и частично модифицировать их. Таким образом, данные аутентификации и синхронизации были читаемыми.
Вывод: идеальны для спорта, но не для безопасности
Многие производители сохранили ошибки, обнаруженные в прошлогоднем тестировании фитнес-трекеров. Разработчики не уделяют должного внимания аспекту безопасности. Оценка рисков показывает, что трекеры Pebble Time, Basis Peak и Microsoft Band 2 являются наиболее защищенными. Они имеют незначительные ошибки, которые, тем не менее представляют несколько возможностей для взлома или фальсификации данных. После тестирования производители наверняка исправят некоторые досадные ошибки с помощью обновления прошивки.
Фитнес-браслет от Mobile Action имеет несколько факторов риска. По утверждениям производителя трекер оснащен функцией, которая делает устройство невидимым для других устройств, но в действительность эта способность не работает. Продукт имеет недостатки в процессе аутентификации и уязвим для подделки данных. Во время тестирования данные можно было модифицировать с помощью бэкдора.
Браслеты от Runtastic, Striiv и Xiaomi получили наибольшее количество очков риска - от 7 до 8 из 10 возможных. Данные продукты легко отслеживаются, пренебрегают аутентификацией или используют слабую аутентификацию и не имеют эффективной защиты от изменения данных. Код приложений недостаточно обфусцирован, а передаваемые данные не защищены от мониторинга при наличии корневых сертификатов. Кроме того, Xiaomi сохраняет все данные в незашированном виде на смартфоне. Подробную информацию о результатах испытания можно прочитать в PDF-файле.
Тестирование смарт часов Apple Watch
Apple Watch также может использоваться как фитнес-трекер в сочетании с iPhone. AV-Test выяснила насколько безопасно устройство обрабатывает данные и можно ли перехватить персональную информацию.
Тест Apple Watch был подготовлен таким же образом, как и испытание устройств для платформы Android. Тем не менее, Android и iOS являются разными операционными системами, поэтому проверка определенных критериев риска не может быть проведена в системе от Apple. Вот почему лаборатория провела тестирование критерием видимости, BLE privacy и контролируемых подключений. В области сетевых соединений проверялось шифрование каналов передачи данных и способность изменения данных при наличии корневых сертификатов.
Bluetooth-видимость может контролироваться пользователем. Это означает, что часы не могут постоянно отслеживаться. В тесте BLE privacy Apple Watch назначал новый Mac-адрес каждый раз, когда активировался Bluetooth. Таким образом, устройство практически невозможно отследить. В тесте данная функция работала неоднократно. При включении и отключение авиа-режима Apple Watch всегда показывает свой истинный MAC-адрес для компонентов Bluetooth.
C точки зрения контролируемых подключений Apple использует специальную технику предотвращения кражи данных: если устройство сопряжено с учетной записью, отвязать его без трудностей не получится. Сброс до заводских настроек здесь не поможет. Если преступник продаст ворованный Apple Watch, новый пользователь не сможет соединить гаджет со своим iPhone.
Apple Watch использует преимущественно зашифрованные подключения, которые дополнительно защищаются. Обновления передаются в незашифрованном виде по протоколу HTTP.
Исследователи смогли прочитать часть данных в зашифрованным, но не защищенных дополнительно подключениях, в частности гео-данные местоположения пользователя, включая адрес улицы! После установки корневого сертификата можно было выполнить мониторинг многих подключений. Таким образом, пользователь имеет повышенный доступ к данным и может их модифицировать.
В целом, Apple Watch получил высокий рейтинг безопасности. В то время как исследователи идентифицировали потенциальные уязвимости, их эксплуатация потребует от злоумышленников очень много времени и сил.
Последние обзоры и тесты
• Лучший антивирус 2024: Тестирование антивирусов для Windows 11 на максимальных настройках защиты
• AV-Test 2024: Лучшие антивирусы для защиты от шифровальщиков и инфостилеров
• AV-Comparatives 2024: Лучшие антивирусы для защиты от целевых атак
• Антивирусы с минимальным влиянием на производительность Windows ПК – AV-Comparatives 2024
• AV-Test 2024: Тестирование 31 антивируса для Windows. Как антивирусы справляются с реальными атаками
• AV-Test 2024: Лучшие антивирусы для Windows 11 и Windows 10