Os smartwatches, dispositivos de monitoramento esportivo e outros tipos de wearables, estão se tornando quase tão familiares quanto nossos smartphones e tablets. Estes gadgets conectados fazem muito mais do que informar o horário. Eles monitoram nossa saúde, nos permitem verificar nosso e-mail, controlar nossas casas inteligentes e podem até mesmo ser usados para realizar pagamento em lojas. Eles são uma extensão dos dispositivos conhecidos como Internet das Coisas (IoT) que tentam tornar nossas vidas mais saudáveis e cômodas, reduzindo o tempo de visualização da tela em nossos smartphones, o que em países como os Estados Unidos a média foi calculada em quase seis horas este ano.
Como era de se esperar, é um mercado que deve obter um crescimento anual de 12,5% durante os próximos anos, para superar os 118 bilhões de dólares em 2028. Entretanto, embora os wearables estejam se tornando mais do que nunca parte de nossa vida diária, esses dispositivos também estão coletando mais dados e se conectando a um número cada vez maior de outros sistemas inteligentes. Portanto, vale a pena entender os riscos de segurança e privacidade que podemos encontrar em torno desta tecnologia.
Quais são as principais preocupações em relação à segurança e privacidade?
Os cibercriminosos contam com diversas formas de monetizar os ataques aos wearables inteligentes e ao ecossistema de aplicativos e softwares relacionados. Eles poderiam interceptar e manipular dados e senhas e desbloquear dispositivos perdidos ou roubados. Há também preocupações potenciais sobre a privacidade em relação ao compartilhamento encoberto de dados pessoais com terceiros. Este é um resumo rápido:
Roubo e manipulação de dados
Alguns dos smartwatches com mais recursos fornecem acesso sincronizado aos aplicativos de seu smartphone, tais como e-mail e aplicativos de mensagens. Isto pode fazer com que usuários não autorizados tentem interceptar os dados pessoais e sensíveis dos usuários. Outros aspecto também preocupante é onde grande parte destes dados são armazenados. Caso não esteja devidamente protegido, o fornecedor pode ser um alvo de atacantes que tentam roubar informações. Existe um mercado clandestino bastante próspero para certos tipos de dados pessoais e financeiros.
Ameaças baseadas na localização
Outro tipo de dados chave registrados pela maioria dos wearables está relacionado à localização. Com estas informações, os cibercriminosos podem construir um perfil preciso de seus movimentos ao longo do dia. Isto pode fazer com que os criminosos consigam atacar o usuário fisicamente, ou seu carro ou casa se, por exemplo, eles tiverem informações de que estão vazios.
Há preocupações ainda maiores com a segurança das crianças que usam tais dispositivos, caso elas estejam sendo rastreadas por terceiros não autorizados.
Empresas terceirizadas
Não é apenas aos riscos de segurança que os usuários precisam estar atentos. Os dados que os dispositivos coletam podem ser extremamente valiosos para os anunciantes - há uma demanda significativa por tais dados em certos mercados. Um relatório destacou que a receita dos dados vendidos por fabricantes de dispositivos de saúde às companhias de seguros pode chegar a US$ 855 milhões até 2023.
Algumas dessas empresas podem até usar os dados para criar perfis publicitários dos usuários e vendê-los. Se esses dados forem armazenados por várias outras empresas, o risco de um possível vazamento de dados pode ser altíssimo.
Desbloqueio de uma casa inteligente
Certos wearables podem ser usados para controlar dispositivos de IOT em uma casa inteligente. Eles podem até mesmo ser configurados para destrancar sua porta principal. Isto apresenta um risco de segurança significativo em casos como a perda ou roubo dos dispositivos e se as configurações antirroubo não estiverem habilitadas.
Qual é o ponto fraco do ecossistema wearable?
O dispositivo que você usa é apenas uma parte da imagem. Na realidade, há diversos elementos que fazem parte do dispositivo que são suscetíveis a ataques se a segurança e a privacidade não foram devidamente consideradas pelo fabricante, desde o firmware do dispositivo até os protocolos para conectividade, aplicativos e servidores backend na nuvem. Aqui estão alguns exemplos:
Bluetooth: bluetooth Low Energy é normalmente usado para emparelhar dispositivos portáteis com o smartphone. Mas ao longo dos anos foram descobertas inúmeras vulnerabilidades no protocolo que podem fazer com que atacantes próximos bloqueiem dispositivos, espiem ou manipulem dados.
Dispositivos: normalmente, o software no próprio dispositivo é vulnerável a ataques externos devido ao fraco desenvolvimento. Mesmo o mais bem projetado smartwatch é construído por humanos e pode, portanto, conter erros no código. Isto também pode levar a vazamentos comprometedores de privacidade, perda de dados e muito mais.
A fraca autenticação/encriptação no wearables pode significar sua exposição a sequestros e escutas não autorizadas. Além disso, os usuários também devem estar cientes de que quem espia por cima do ombro pode estar vendo mensagens/dados sensíveis em seus dispositivos em locais públicos.
Aplicativos: os aplicativos para smartphones vinculados a wearables são outra via de ataque. Mais uma vez, eles podem estar mal programados e repletos de vulnerabilidades que expõem os dados e dispositivos dos usuários. Outro risco é que os aplicativos, ou mesmo os próprios usuários, possam ser descuidados com os dados. Também pode acontecer que o usuário descarregue acidentalmente aplicativos falsos projetados para parecerem legítimos e que os atacantes roubem informações pessoais que foram anteriormente inseridas neles.
Servidores back-end: como mencionado, os provedores de sistemas baseados na nuvem podem armazenar informações de dispositivos, incluindo dados de localização e outros detalhes. Isto representa um alvo bastante atrativo para os atacantes. Não há muito que você possa fazer sobre isso, além de escolher um fornecedor com um bom histórico de segurança.
Infelizmente, muitos dos cenários descritos neste artigo são mais do que teóricos. Há alguns anos, pesquisadores encontraram diversas vulnerabilidades em relógios inteligentes para crianças que expunham localização e dados pessoais. Antes disso, pesquisas constataram que muitos fabricantes estavam enviando dados pessoais não criptografados de crianças que usavam produtos para servidores na China.
As preocupações em relação aos wearables persistem até hoje, com pesquisas que mostram dispositivos suscetíveis a manipulação que podem até causar aflição física ao usuário. Outro estudo alegou que os cibercriminosos poderiam mudar as senhas, fazer chamadas, enviar mensagens de texto e acessar a câmeras a partir de de dispositivos projetados para monitorar idosos e crianças.
Dicas para proteger seus dispositivos
Felizmente, há várias coisas que é possível fazer para minimizar os riscos descritos acima. Entre eles:
- Ative a autenticação em duas etapas;
- Proteja a tela de bloqueio com senha;
- Altere as configurações para evitar qualquer emparelhamento não autorizado;
- Use apenas lojas legítimas de aplicativos;
- Mantenha todo o software atualizado;
- Nunca faça jailbreaking/rotear em seus dispositivos;
- Limite as permissões dos aplicativos;
- Instale um software AV de boa reputação no dispositivo.
Proteja sua casa inteligente:
- Evite sincronizar dispositivos portáteis com a porta principal da sua casa;
- Mantendo os dispositivos na rede Wi-Fi do convidado;
- Atualize todos os dispositivos para o firmware mais recente;
- Modifique todas as senhas padrão que aparecem nos dispositivos.
No geral:
- Prefira fornecedores de wearables com boa reputação;
- Verifique cuidadosamente as configurações de privacidade e segurança para garantir de que estão configuradas corretamente.
À medida que os dispositivos portáteis se tornarem uma parte cada vez mais importante de nossas vidas, eles se tornarão um alvo mais importante para os atacantes. Pesquise antes de comprar e feche o maior número possível de vias de ataque uma vez que o dispositivo tenha sido inicializado.