Quantas informações sensíveis um relógio inteligente revela sobre você?

Smartwatches, ou relógios inteligentes, podem se tornar instrumentos para espionar seus usuários, revelou uma nova pesquisa da Kaspersky Lab sobre o impacto que a disseminação da IoT (Internet das Coisas, na sigla em inglês) pode ter sobre a vida diária dos usuários e a segurança de suas informações.

Cibercriminosos podem, a partir desses relógios, coletar silenciosamente sinais do acelerômetro – responsável por detectar e medir vibrações –  e giroscópio – utilizados em instrumentos como as bússolas. Tais dados, depois de analisados, se transformam em conjuntos de informações exclusivas do proprietário do dispositivo. Se usados impropriamente, tais dados permitem monitorar atividades, inclusive a inserção de informações sigilosas, alerta a Kaspersky Lab. 

Para ajudar a manter um estilo de vida saudável, muitas pessoas têm usado monitores de condição física para controlar nossas atividades esportivas, mas isso pode ter consequências perigosas. Os especialistas da Kaspersky resolveram examinar quais informações do usuário esses sensores poderiam fornecer para terceiros não autorizados, e analisaram mais de perto vários relógios inteligentes de diferentes fornecedores.

Para examinar a questão, os especialistas desenvolveram um aplicativo para smartwatch bastante simples, que registra os sinais dos acelerômetros e giroscópios integrados. Os dados registrados são salvos na memória do dispositivo wearable ou carregado no celular emparelhado via Bluetooth.

O que um smartwatch revela sobre você

Usando algoritmos matemáticos, foi possível identificar padrões de comportamento, os momentos e locais em que o usuário estava em movimento e por quanto tempo isso aconteceu. Mais importante, foi possível identificar atividades sigilosas do usuário, incluindo inserção de senhas no computador (com precisão de até 96%), inserção de um código PIN no caixa eletrônico (aproximadamente 87%) e desbloqueio do celular (aproximadamente 64%).

O próprio conjunto de dados de sinais é um padrão de comportamento exclusivo do proprietário do dispositivo. Usando isso, um terceiro poderia ir além e tentar definir a identidade do usuário por meio de um endereço de e-mail solicitado na fase de registro no aplicativo ou pela ativação do acesso às credenciais de conta do Android. Depois disso, é questão de tempo até a identificação detalhada das informações da vítima, incluindo sua rotina diária e os momentos de inserção de dados importantes. E, considerando o preço cada vez maior dos dados particulares de usuários, podemos nos ver facilmente em uma situação em que esse vetor será transformado em dinheiro.

A Kaspersky alerta que mesmo que essa exploit não seja explorada financeiramente, mas usada por criminosos virtuais em seus próprios objetivos maliciosos, as possíveis consequências são limitadas somente pela imaginação e o nível de conhecimento técnico dos criminosos. Por exemplo, eles poderiam descriptografar os sinais recebidos usando redes neurais, armar ciladas para as vítimas ou instalar skimmers em seus caixas eletrônicos favoritos. Também já observamos que os criminosos podem alcançar 80% de precisão ao tentar descriptografar sinais do acelerômetro e identificar senhas ou PINs usando apenas os dados coletados pelos sensores de relógios inteligentes.

“Os wearables inteligentes não são apenas dispositivos em miniatura; são sistemas físico-cibernéticos capazes de registrar, armazenar e processar parâmetros físicos. Nossa pesquisa mostra que mesmo algoritmos muito simples, executados no próprio smartwatch, são capazes de capturar o perfil de sinais do acelerômetro e do giroscópio exclusivo do usuário. Esses perfis podem, então, ser usados para “eliminar o anonimato” do usuário e rastrear suas atividades, inclusive os momentos em que estão inserindo informações sigilosas. Isso pode ser feito usando aplicativos legítimos do relógio inteligente, que enviam dados de sinais secretamente para terceiros”, disse Sergey Lurye, entusiasta de segurança e coautor da pesquisa da Kaspersky Lab.

Fique atento

Os pesquisadores da Kaspersky Lab recomendam que os usuários prestem atenção às seguintes peculiaridades ao usar dispositivos inteligentes:

1) Desconfie. Se o aplicativo envia uma solicitação para recuperar informações da conta do usuário, você pode se preocupar, pois seria fácil para os criminosos usarem isso para criar uma “impressão digital” do proprietário;

2) Tenha cuidado. Se o aplicativo também solicitar permissão para enviar dados de geolocalização, você deve se preocupar. Não conceda permissões adicionais aos monitores de atividade física que você baixa no smartwatch, nem defina seu endereço e-mail corporativo no login;

3) Atenção. O consumo rápido da bateria do dispositivo também pode ser motivo para preocupação. Se a bateria do aparelho acabar depois de algumas horas quando deveria durar um dia, verifique o que ele está fazendo. Talvez esteja perdendo os sinais ou, pior, enviando-os para algum outro lugar.