Jak to jest z bezpieczeństwem opasek do fitnessu i informacjami, które zbierają o użytkowniku?

Z roku na rok popyt na „inteligentne” urządzenia mierzące kondycję (opaski fitness) ciągle rośnie. Według badań GFK sprzedaż w Europie tych urządzeń wzrosła aż o 22% w roku 2017 w stosunku do roku poprzedniego. Laboratorium AV-Test, które zweryfikowało bezpieczeństwo inteligentnych opasek podaje dane, które zgadzają się z badaniami GFK. Otóż w latach 2015-2017 u naszych zachodnich sąsiadów z tendencją wzrostową odnotowywano co roku ponad milion sprzedawanych urządzeń. Czy to możliwe, że sprzęt monitorujący aktywność fizyczną wchodzi pod strzechy na całym świecie? To się jeszcze okaże. Tymczasem przyjrzymy się jak to jest naprawdę z bezpieczeństwem opasek fitness i informacjami, które zbierają o użytkowniku.

Bezpieczeństwo komunikacji lokalnej (opaska <-> smartfon) i zewnętrznej (aplikacja->chmura producenta) oraz ochronę danych sprawdzono dla urządzeń:  

  • Apple - Watch Series 3
  • Fitbit - Opłata 2
  • Garmin - vívofit 3
  • Huawei - Band 2 Pro
  • Jawbone - UP3
  • Lenovo - HW01
  • Medion - Life S2000
  • Moov - teraz
  • Nokia - Steel HR
  • Polar - A370
  • Samsung - Fit2 Pro
  • TomTom - Spark 3
  • Xiaomi - Mi Band 2

Opaska do fitnessu jest naszpikowana czujnikami. Dzięki nim możliwe jest zbieranie szczegółowych danych o osobie, która ją nosi. Elektronika zintegrowana z modułem GPS daje wzgląd w obrazkowe dane o lokalizacji i pokonanej odległości. Identyfikowane są też wzorce ruchowe, takie jak pływanie, jazda na nartach, bieganie czy odpoczynek. Urządzenia potrafią rejestrować bezczynność podczas dnia i nocy oraz określać fazę snu. Tak naprawdę opaski wiedzą o swoim właścicielu więcej niż lekarz rodzinny. Ich producenci na pewno się z tego cieszą, ponieważ na podstawie takich danych już w Stanach Zjednoczonych określa się wysokość składki na prywatne ubezpieczenie zdrowotne — użytkownik, który aktywnie dba o swoje zdrowie zapłaci mniej niż jego rówieśnik, który opaskę wykorzystuje raczej do innych czynności niż analizowania wyników sportowych i bicia kolejnych rekordów.

RODO obrazek

Ujawnienie takich danych medycznych może sporo kosztować. Wszystkie informacje przesyłane są do serwerów producentów, gdzie są przechowywane, analizowane i niekiedy sprzedawane ubezpieczycielom lub firmom marketingowym. Właściwe to z tego powodu istnieje ryzyko, że dane zostaną niewłaściwie wykorzystane, jeżeli będą połączone z innymi informacjami (np. z portali social media), które pozwolą stworzyć prywatny profil osoby o stanie zdrowia i trybie życia. Takimi danymi są zainteresowani pracodawcy, firmy leasingowe i przede wszystkim firmy ubezpieczeniowe. Pozyskane dane można wykorzystać do oceny ryzyka przy podpisywaniu długoterminowych umów.

Niestety tak rysuje się przed nami przyszłość. Za przykład podajmy amerykańską prywatną firmę ubezpieczeniową John Hancock. Za 25 dolarów oferują klientom opaskę Apple Watch Series 3 (wartą 329 dolarów) w zamian za przekazywanie odczytów o stanie kondycji ubezpieczonego. Osoby, które z jakiegoś powodu podupadną na zdrowiu i nie wywiążą się z „limitów” mogą zostać ukarane finansowo, a kwota może znacznie przewyższać standardową cenę opaski Apple. Działa to także w drugą stronę — w zamian za utrzymywanie dobrej kondycji i np. zrobienie 60000 kroków tygodniowo klienci mogą liczyć na punkty, które da się wymienić na tańsze lub bezpłatne usługi.

Ratunkiem dla Europejczyków może być ustawa RODO wchodząca w życie 25 maja. Spotkaliśmy się z różnymi opiniami, np. że RODO nic do bezpieczeństwa danych nie wniesie, ponieważ istniały już wcześniej przepisy pozwalające egzekwować incydenty naruszenia danych, lub że RODO to aż taka duża rewolucja, że musi minąć jeszcze kilka lat, aby każdy przedsiębiorca mógł się w pełni przystosować. Faktem jest, że niektóre firmy zza oceanu wycofują się z Europy lub zamykają się przed mieszkańcami UE w obawie o GDPR, która obliguje nawet najmniejszego przedsiębiorcę do przestrzegania europejskich przepisów o ochronie danych osobowych. Ustawa dotyczy dosłownie wszystkie podmioty działające na terenie Unii Europejskiej. Każdy kto chce pozyskiwać dane osób zamieszkujących Stary Kontynent musi się dostosować do nowych wymogów lub oswoić się z horrendalnie wysokimi karami finansowymi. Pożyjemy, zobaczymy.  

Opaski fitness: Bezpieczeństwo

Przeprowadzony test polegał na sprawdzeniu bezpieczeństwa danych przesyłanych pomiędzy opaskami a aplikacjami oraz zweryfikowaniu, czy dane ze smartfonów do serwerów producenta są przesyłane kanałem szyfrowanym.  

Test opasek fitness

Bezpieczeństwo transmisji danych pomiędzy opaską a smartfonem

Transmisja danych między opaskami a smartfonami odbywa się za pośrednictwem Bluetooth. W teście tylko 9 na 13 producentów stosowali szyfrowanie przy przesyłaniu danych. Idealna sytuacja miała miejsce wtedy, jeśli uwierzytelnienie realizowane było za pomocą nazwy użytkownika i hasła. Ważnym aspektem było także to, czy opaska przesyła zebrane dane wyłącznie do uwierzytelnionego smartfona.

W kilku przypadkach połączenie pomiędzy opaską a smartfonem nie było szyfrowane lub/i odbywało się bez wcześniejszego uwierzytelnienia. Opaski, które należy tutaj wymienić to: Medion Life S2000, Xiaomi Mi Band 2, Moov Now i Lenovo HW01, które cechowało się najgorszym zabezpieczeniem transmisji danych.

Bezpieczeństwo transmisji danych do serwera producenta

Prawie wszystkie urządzenia były odporne na ataki man in the middle. Prawie, ponieważ nie dotyczy to opasek firmy Garmin i Lenovo. W przypadku tego pierwszego producenta wystarczy zwykła aktualizacja firmware. Lenovo znowu się nie popisało, ponieważ rejestracja i logowanie do konta online odbywało się protokołem nieszyfrowanym — chociaż hasło i login do konta były szyfrowane, to pozostałe dane statystyczne nie były szyfrowane i pozwalały uzyskać dostęp do rzeczywistego konta.

Lenovo fitness wyciek danych

Prywatność danych

Jeżeli dane użytkownika są zapisywane i przetwarzane poza Unią Europejską to informacje na ten temat można znaleźć w większości polityk prywatności. Garmin, Huawei, Nokia i Samsung całkowicie wykluczają ujawnianie takich danych stronom trzecim bez zgody użytkownika.

Złe wrażenie wywołała niejednoznaczna polityka prywatności firmy Moov, która nie ujawniła nawet, które dane użytkownika są śledzone przez dostawcę. Jeszcze gorzej zachowała się firma Lenovo. Polityka prywatności Lenovo nie dostarcza zbyt wielu informacji, w dodatku jak opisują testerzy — urządzenie tej firmy komunikowało się z ogromną liczbą adresów internetowych stron trzecich.

To ważne komu przekazujemy dane

Osoby, które korzystają z opasek fitness muszą pamiętać o skandalu Cambridge Analytica. Szacuje się, że sprzedano dane 80 milionów użytkowników portalu społecznościowego Facebook. Z tego powodu nabywca  opaski powinien rozważyć, czy na pewno chce parować urządzenie z Facebookiem lub z innym portalem social media. Owszem — zachęta do pochwalenia się „sukcesami” może być kusząca, ale z drugiej strony Facebook może dzielić się takimi danymi z bliżej nieokreślonymi firmami. Miejmy nadzieję, że RODO na coś się przyda.



Dodaj komentarz

Treść tego pola jest prywatna i nie będzie udostępniana publicznie.

Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej