Quando gli smartwatch diventano un vero incubo

Oggigiorno, pare che ogni azienda produca uno smartwatch. Possono fare di tutto, dal misurare il battito cardiaco al fare telefonate e addirittura dire che ore sono. Ma sapevate che possono essere utilizzati anche per riconoscere cosa state digitando?

Ok, questa è nuova.

I dispositivi indossabili come i fitness tracker e gli smartwatch hanno suscitato preoccupazioni in materia di sicurezza fin dall’inizio. In primo luogo, i dati che possono raccogliere e trasferire al cloud potrebbero finire nelle mani sbagliate o venduti al miglior offerente.

I produttori di fitness tracker stanno facendo del loro meglio per convincere gli utenti che i loro dati siano al sicuro, ma allo stesso tempo vendono in massa braccialetti intelligenti a clienti aziendali. Per esempio, le compagnie possono utilizzarli per monitorare la salute dei propri impiegati, che di sicuro non è il modo in cui i dati privati dovrebbero essere trattati. Risulta che questo aspetto non sia il peggiore nella faccenda dei fitness tracker e smartwatch.

Your fitness is their business. Nothing personal – https://t.co/82w3NuTWxl via @kaspersky #security

— Kaspersky Lab (@kaspersky) October 30, 2014

Quando Roman Unuchek di Kaspersky Lab ha scoperto che è molto semplice connettere uno smartphone a praticamente qualsiasi fitness tracker, già connesso a un altro dispositivo, ha concluso la sua ricerca con una nota relativamente positiva:

“Violando il braccialetto che possiedo, il truffatore non può accedere a tutti i dati dell’utente poiché non sono archiviati nel cinturino o nel telefono: l’applicazione ufficiale di norma trasferisce le informazioni dal cinturino al cloud.”

Kaspersky Lab Expert: How I Hacked my Smart Bracelet http://t.co/0DNsNeLKRP via @Securelist #wearables #security pic.twitter.com/DCcZHtFqPO

— Kaspersky Lab (@kaspersky) March 26, 2015

In seguito, Tony Beltramelli, uno studente della IT University of Copenhagen, ha dimostrato come al truffatore non servano questi dati per danneggiare il dispositivo indossabile del proprietario. Nella sua tesi di dottorato, ha verificato che dopo aver ottenuto l’accesso a uno smartwatch, si possono tracciare i movimenti del suo proprietario e decodificarli nei simboli digitati su un tastierino numerico.

In realtà il ricercatore conta sul fatto che ogni utente abbia un proprio stile di digitazione unico. Una volta i ricercatori hanno suggerito che questo possa essere usato per migliorare la sicurezza: per accedere a qualcosa, è necessario non solo digitare la password, ma farlo in un certo modo, con la medesima pressione del tasto del proprietario del dispositivo.

Nel suo esperimento, Beltramelli si è servito di un Sony Smartwatch 3 con sistema operativo Android Wear, un tastierino fatto a mano e un segmento di codice con alcune capacità di intelligenza artificiale. Il suo software era consapevole del suo modello unico di digitazione e così, usando i dati dai sensori di movimento integrati nello smartwatch, è stato in grado di convertirli nelle cifre che aveva effettivamente digitato, con un’accuratezza superiore al 60%.

Ok, qualcuno può servirsi di uno smartwatch hackerato per sapere cosa abbiamo digitato su un tastierino. E adesso?

Tecnicamente… Potrebbero succedere un sacco di brutte cose.

Questo tastierino potrebbe essere stato un PIN-pad in uno sportello bancomat o nel POS in un negozio, e ora l’aggressore conosce il codice PIN della vostra carta di credito. O il tastierino potrebbe essere stato la schermata di blocco del vostro telefono: una volta che il malfattore mette le mani sul vostro telefono, può acquisire con facilità tutte le informazioni, compresi i vostri contatti, i messaggi, i dati bancari e così via, perché adesso conosce il vostro codice PIN.

#Google Patches Latest #Android Lockscreen Bypass via @threatpost https://t.co/XqLsWIWRXd #mobile pic.twitter.com/7ioP8J3Rdz

— Kaspersky Lab (@kaspersky) September 16, 2015

Inoltre, se qualcuno fa sì che il software riconosca le cifre su un tastierino, probabilmente possono migliorarlo e renderlo capace di distinguere le lettere su una comune tastiera del computer. Se ciò accade, l’aggressore potrebbe essere in grado di tracciare qualunque cosa digitiate, rendendo malsicure tutte le vostre comunicazioni. Beh, poiché possedete solo uno smartwatch, può essere tracciata solo una delle vostre mani, ma metà delle lettere che avete digitato potrebbero bastare per capire esattamente cosa stavate digitando.

Non abbiamo prove che le minacce come questa possano essere già diffuse, ma credeteci, di sicuro non vi piacerebbe imbattervi in una di esse se e quando risultino essere una realtà: in questo caso, c’è solo un modo per proteggervi. Dovete accertarvi che sul vostro smartwatch non sia installato un malware.

Kaspersky Lab, @WISeKey partner to increase #security for connected wearables #IoT #infosec https://t.co/ECsrrkS1pA pic.twitter.com/KsMRplc0GV

— Kaspersky Lab (@kaspersky) January 14, 2016

Potete fare due cose per migliorare la sicurezza del vostro dispositivo indossabile.

1. Scaricate le vostre app solo dagli store ufficiali come Apple App Store, Google Play o Amazon Appstore. Non sono al 100 % failsafe, ma almeno vengono controllate dai rappresentanti commerciali e c’è un certo sistema di selezione: non tutte le app possono entrare in questi store.

Allegedly 40 apps on App Store are infected https://t.co/UTSGwvWccj #apple pic.twitter.com/moLosQwB9V

— Kaspersky Lab (@kaspersky) September 23, 2015

2. Utilizzate un’adeguata soluzione di sicurezza. Poiché tutte le app che finiscono sul vostro watch vengono prima scaricate sul vostro telefono, se avete installato Kaspersky Internet Security for Android Premium saranno automaticamente controllate.