Sembra che gli hacker non si acconteranno più di rubare numeri di carte di credito e dati finanziari personali, il prossimo pericolo sarà il furto delle informazioni relative alla nostra attività fisica. E non solo: i fitness tracker, oggi sempre più popolari, non misurano solo i passi fatti durante una corsetta, ma possono anche annotare dati medici o comunque strettamente personali, come la frequenza del battito cardiaco e le variazioni di peso. Ebbene, sembra che questi dispositivi possano rappresentare una grande minaccia per la nostra privacy. Almeno, così sostiene Kaspersky Lab, in una ricerca sul livello di sicurezza degli indossabili.
Secondo gli esperti dell’azienda, il metodo di autenticazione implementato in parecchi braccialetti molto popolari permette a un terzo soggetto di connettersi al dispositivo senza essere scoperto, di eseguire comandi e di estrarre informazioni.
La connessione non voluta diventa possibile a causa delle modalità in cui il wearable viene “accoppiato” allo smartphone. I cellulari con sistemi operativi Android 4.3 e successivi possono essere abbinati, tramite Bluetooth, ai braccialetti prodotti da alcuni vendor utilizzando Android Wear. Il software permetterebbe però anche la creazione di “ponti” non autorizzati con altri indossabili. Per accettare la connessione, gli utenti devono premere un tasto sul loro wearable, ma gli hacker possono facilmente superare questo ostacolo: molti oggetti fitness presenti sul mercato non dispongono infatti di schermo.
Che cosa comporta la mancanza di display? Quando il braccialetto vibra e chiede conferma all’utente dell’avvenuto abbinamento, la vittima non ha modo di sapere se stia dando conferma al proprio dispositivo o a quello di qualcun altro. Una serie di test effettuati da Kaspersky Lab ha dimostrato come sia stato possibile, in sole sei ore di scansioni effettuate con una app dedicata, collegarsi a ben 54 dispositivi, malgrado esistano diverse limitazioni. La principale è quella che impedisce a un indossabile già agganciato al telefono di legarsi a un altro smartphone: in sintesi, non è possibile interrompere una connessione già esistente.
In realtà le cose non stanno proprio così. Utilizzando la stessa applicazione di scansione, il Kaspersky Lab è riuscito a bloccare la comunicazione in corso tra un braccialetto fitness e l'applicazione ufficiale, sebbene gli stessi fossero stati in precedenza già abbinati. La buona notizia è che il potenziale hacker non può accedere a tutti i dati relativi all’utente, perché questi non vengono custoditi nell’archivio locale del braccialetto fitness o del telefono, ma trasferiti in tempo reale su cloud.