Esperimento: è facile spiare chi indossa uno smartwatch?

30 Mag 2018

Si può usare uno smartwatch per spiare il suo proprietario? Certo, e ci sono tanti modi per farlo. Uno in particolare: usare un’app installata su uno smartphone in grado di inviare i dati provenienti dai sensori di movimento integrati (in particolare, accelerometro e giroscopio) a un server remoto. Questi dati possono essere utilizzati per controllare le azioni del proprietario del dispositivo (come camminare, sedersi, digitare etc).

Si tratta di una minaccia seria e quali dati possono essere davvero estrapolati? Abbiamo deciso di fare qualche ricerca.

 

Esperimento: i movimenti dello smartphone possono davvero rivelare una password?

La nostra ricerca è iniziata con uno smartwatch con sistema operativo Android: abbiamo scitto un’app molto semplice per elaborare e trasmettere i dati dell’accelerometro e abbiamo poi visto cosa avremmo potuto ricavare da questi dati. Se volete maggiori informazioni in merito, potete leggere il report completo (in lingua inglese).

Questi dati servono per capire se il proprietario dello smartwatch sta camminando o è seduto. Analizzando un po’ più a fondo i dati, si può capire anche se questa persona è uscita per fare una passeggiata o se ha cambiato di linea di metropolitana (i comportamenti dell’accelerometro cambiano leggermente ed così che i fitness tracker possono fare una distinzione, ad esempio, tra una camminata e una pedalata).

Si può capire facilmente anche quando il proprietario dello smartwatch sta scrivendo al computer. Ma risalire a cosa stia digitando, questo è più difficile perché ognuno ha la propria maniera di digitare sulla tastiera (chi usa tutte e dieci le dita della mano, chi va avanti con un paio di tasti alla volta, chi opta per un sistema intermedio etc). Persone diverse che digitano la stessa frase possono produrre differenti segnali dell’accelerometro (anche se, quando una persona digita una password più volte di fila, produrrà segnali più o meno simili).

Una rete neurale potrebbe ricavare il messaggio digitato, se le viene insegnato come  un individuo in particolare digita un testo. E se a questa rete neuronale viene insegnato il vostro modo particolare di scrivere, i dati dell’accelerometro dello smartwatch che avete al polso potrebbero essere utilizzati per ottenere una password, seguendo i movimenti della vostra mano.

In ogni caso, il processo di apprendimento della rete neurale sarebbe piuttosto lungo e i processori dei dispositivi indossabili moderni non sono abbastanza potenti per gestire direttamente una rete neurale. Per questo, i dati andrebbero inviati a un server.

E qui arrivano i problemi per una possibile spia: il caricamento costante dei dati dell’accelerometro consuma un bel po’ di traffico Internet e prosciuga in poche ore la batteria dello smartwatch (nel nostro caso, in 6 ore). Si tratta di due indizi piuttosto evidenti grazie al quale il proprietario dello smartwatch potrebbe capire subito che c’è qualcosa che non va. Anche se sono indizi che si potrebbero mitigare trafugando i dati in modo selettivo e in determinate tempistiche, ovvero quando il proprietario del dispositivo arriva al lavoro, momento perfetto per digitare una password.

Insomma, sì che si potrebbe usare lo smartwatch per capire ciò che state scrivendo, ma non è affatto facile ed è possibile solo se digitate più volte lo stesso testo. Durante il nostro esperimento siamo riusciti a ottenere la password di un computer con una percentuale di precisione del 96% e, nel caso di un codice PIN di un bancomat, la percentuale è scesa all’87%.

Potrebbe andare peggio

In ogni caso, per i cybercriminali questi dati non sono così utili perché, per approfittarne, avrebbero comunque bisogno di avere accesso al computer o alla carta di credito. E risalire al numero della carta di credito e al codice CVC è ancora più complicato.

Ed ecco perché. Sul posto di lavoro, la prima cosa che il proprietario di uno smartwatch digita è probabilmente la password per entrare nel proprio computer. Il grafico dell’accelerometro indica prima che la persona sta camminando e poi sta digitando. In base ai dati ottenuti in questo breve lasso di tempo, è possibile recuperare la password.

Tuttavia, normalmente non si digita il numero di una carta di credito non appena ci si siede alla scrivania (e neanche ci si alza all’improvviso subito dopo aver indicato questi dati). Inoltre, nessuno digita queste informazioni più volte di seguito.

Per rubare informazioni da uno smartwatch, i cybercriminali devono trovare un’attività prevedibile in cui i dati vengono digitati varie volte. Anche per questo motivo, è importante non impiegare la stessa password su diversi servizi.

Chi dovrebbe preoccuparsi degli smartwatch?

La nostra ricerca dimostra che si possono usare i dati ottenuti dal sensore di accelerazione di uno smartwatch per ottenere informazioni su comportamenti e movimenti del proprietario del dispositivo e, in alcuni casi, sapere anche cosa ha digitato sul computer (ad esempio, una password).

Infettare uno smartwatch con un malware in grado di ricavare certi dati è molto semplice. Basta soltanto creare un’app (tipo il layout carino di un orologio o un fitness tracker), aggiungere una funzionalità per leggere i dati dell’accelerometro e caricarli su Google Play. In teoria, un’app di questo tipo supera i test anti-malware dello store in quanto non c’è un comportamento dannoso.

Ci dobbiamo preoccupare che qualcuno ci possa spiare con questa tecnica? Solo se c’è davvero una grande motivazione alla base. Un cybercriminale di solito va alla ricerca di prede facili e un metodo così complesso non vale molto la pena.

Nel caso la password del vostro computer o il percorso che fate per arrivare in ufficio siano di grande interesse per qualcuno, lo smartwatch può essere un ottimo mezzo per spiarvi o rintracciarvi. E allora vi diamo i seguenti consigli:

  • Verificate se il vostro smartwatch consuma dati in modo eccessivo o se la batteria si scarica troppo velocemente;
  • Non concedete troppe autorizzazioni alle app; in particolare, state alla larga da quelle app che richiedono informazioni sull’account e le vostre coordinate di localizzazione. In questo modo, i cybercriminali non potranno capire se sono riusciti a infettare il vostro smartwatch;
  • Installate sullo smartphone una soluzione di sicurezza che vi aiuti a individuare gli spyware prima che possano mettersi all’opera.