Πόσο ασφαλής είναι η ηλεκτρονική καταγραφή του εαυτού μας;

30

Κάθε μέρα, εκατομμύρια άνθρωποι παγκοσμίως καταγράφουν κάθε άποψη της ζωής τους, τις σκέψεις τους, τις εμπειρίες τους και τα κατορθώματα των δραστηριοτήτων τους (γνωστό και ως self-trackingή lifelogging). Τα άτομα που ασχολούνται με το self-trackingτο κάνουν για διάφορους λόγους. Δεδομένου του όγκου των προσωπικών δεδομένων που δημιουργούνται, μεταδίδονται και αποθηκεύονται σε διάφορα σημεία, η ιδιωτικότητα και η ασφάλεια αποτελούν σημαντικά ζητήματα για τους χρήστες αυτών των συσκευών και των εφαρμογών. Η Symantecανακάλυψε ρίσκα στην ασφάλεια σε σημαντικό αριθμό self-tracking συσκευών και εφαρμογών. Ένα από τα σημαντικά ευρήματα ήταν ότι όλες αυτές οι wearable συσκευές δραστηριοτήτων που εξετάστηκαν, συμπεριλαμβανομένων και ορισμένων κορυφαίων brands, είναι ευπαθείς στον εντοπισμό τοποθεσίας (locationtracking).

 

Οι ερευνητές δημιούργησαν μια σειρά συσκευών σάρωσης χρησιμοποιώντας τα RaspberryPiminicomputersκαι τοποθετώντας τα σε αθλητικές εκδηλώσεις και πολυσύχναστα δημόσια μέρη, ανακάλυψαν ότι ο εντοπισμός των ατόμων ήταν πιθανός και εφικτός.

 

Η Symantecβρήκε ευπάθειες σχετικά με το πως τα προσωπικά δεδομένα αποθηκεύονται και πως γίνεται η διαχείριση τους, όπως για παράδειγμα η μη κρυπτογραφημένη μεταφορά κωδικών και η ελλιπής διαχείριση των sessions κατά τη σύνδεση των εφαρμογων με τους servers.

Πως δουλεύουν τα self-trackingσυστήματα;

Πολλοί άνθρωποι που ασχολούνται με το self-tracking, το εφαρμόζουν με gadgetsόπως τα ηλεκτρονικά περικάρπια, τα έξυπνα ρολόγια, pendants, ακόμη και “έξυπνα” ρούχα. Αυτά τα gadgetsτυπικά περιέχουν μια σειρά από sensors, έναν επεξεργαστή, μνήμη και ένα περιβάλλον επικοινωνίας (communicationinterface). Αυτά τα gadgetsεπιτρέπουν στον χρήστη να συλλέγει, να αποθηκεύει, και να μεταδίδει τα δεδομένα του χωρίς κόπο σε άλλο υπολογιστή για επεξεργασία και ανάλυση.

Παρά την αυξανόμενη χρήση των ειδικά σχεδιασμένων gadgets, τα smartphonesείναι ίσως τα πιο κοινά εργαλεία που οι άνθρωποι χρησιμοποιούν για να πραγματοποιήσουν το self-tracking. Ένα σύγχρονο smartphoneείναι εξοπλισμένο με μία ευρεία γκάμα από διαφορετικούς sensorsπου μπορούν να χρησιμοποιηθούν για μία σειρά από self-trackingεφαρμογές. Οι περισσότεροι έχουν πάντα μαζί τους τα κινητά τους τηλέφωνα και η πληθώρα των δωρεάν self-trackingεφαρμογών, καθιστά πιο εύκολο από ποτέ για τους χρήστες να κάνουν self-tracking.

Για να ξεκινήσουν το self-tracking, οι χρήστες απλά επιλέγουν από την ευρεία γκάμα εφαρμογών που βρίσκονται διαθέσιμα στα appmarkets, εγκαθιστούν μία από αυτές, εγγράφονται σε αυτή και ξεκινούν το tracking. Στο τέλος κάθε συνεδρίας, ο χρήστης μπορεί να ανατρέξει και να συγχρονίσει τα δεδομένα που έχουν συλλεχθεί σε ένα cloud-basedserverγια αποθήκευση.

Πόσο ασφαλής είναι η ηλεκτρονική καταγραφή του εαυτού σας;

Όταν τα προσωπικά μας δεδομένα που αφορούν ηλεκτρονικά καταγεγραμμένες πληροφορίες για τον εαυτό μας είναι στη διάθεση των παρόχων, αυτό σημαίνει αυτόματα ότι τους εμπιστευόμαστε; Πως γνωρίζουμε ότι λαμβάνουν όλα τα απαραίτητα μέτρα για να προστατεύσουν τα δεδομένα μας και την ιδιωτικότητά μας; Για να μπορέσουμε να δούμε τι συμβαίνει, εξετάσαμε τι κάνουν οι εταιρείες για να προστατεύσουν τους χρήστες των υπηρεσιών τους, μέσω των δημοφιλών συσκευών και εφαρμογών της αγοράς.

Eντοπισμός θέσης wearableσυσκευών

Όλες οι wearableσυσκευές εντοπισμού δραστηριότητας μπορούν να εντοπιστούν μέσω πρωτοκόλλων ασύρματης μετάδοσης.

Υπάρχουν πολλές wearableσυσκευές παρακολούθησης αθλητικών δραστηριοτήτων στην αγορά. Αυτές οι συσκευές γενικώς περιέχουν sensorsγια να εντοπίζουν την κίνηση αλλά οι περισσότεροι δεν είναι σχεδιασμένοι για εντοπισμό θέσης. Τα δεδομένα που συλλέγονται από αυτές τις συσκευές πρέπει να συγχρονίζονται με άλλη συσκευή ή υπολογιστή έτσι ώστε να μπορεί να γίνει επεξεργασία. Για ευκολία πολλοί κατασκευαστές χρησιμοποιούν Bluetooth Χαμηλής Ενέργειας για να επιτρέψουν στη συσκευή να συγχρονίσει ασύρματα τα δεδομένα με ένα smartphoneή υπολογιστή. Αυτή η ευκολία έχει όμως ένα τίμημα· η συσκευή μπορεί να δίνει πληροφορίες που να επιτρέπουν τον εντοπισμό από μία τοποθεσία σε μία άλλη.

Για να δοκιμάσουμε πως αυτές οι συσκευές μπορούν να εντοπιστούν, δημιουργήσαμε μία φορητή Bluetoothscanningσυσκευή χρησιμοποιώντας RaspberryPiminicomputersκαι άλλα περιφερειακά όπως ένα Bluetooth 4.0 adaptor, μια σειρά μπαταριών και μία SDκάρτα. Αυτά συνδυάστηκαν με opensourceλογισμικό και τυπικό scripting. Κάθε συσκευή κόστιζε περίπου US$75 και μπορούσε εύκολα να δημιουργηθεί από οποιονδήποτε με βασικές γνώσεις πληροφορικής.

Τα αποτελέσματα της έρευνας δείχνουν ότι οι κατασκευαστές αυτών των συσκευών (συμπεριλαμβανομένων και των κορυφαίων στην αγορά) δεν έχουν σκεφτεί σοβαρά πώς θα αντιμετωπίσουν τα ζητήματα ιδιωτικότητας των προϊόντων αυτών. Ως συμπέρασμα, οι συσκευές, και αυτοί που τις φορούν, μπορούν εύκολα να εντοπιστούν από τον καθένα με βασικές ΙΤ δεξιότητες και με τη βοήθεια φθηνών εργαλείων.

Γιατί πρέπει να ανησυχούμε για αυτό? Είναι πιθανό ότι κλέφτες ή κάποιοι που μας παρακολουθούν να χρησιμοποιήσουν τις πληροφορίες εντοπισμού θέσης για κακόβουλο σκοπό. Υπάρχουν παραδείγματα που κλέφτες χρησιμοποίησαν συστήματα εντοπισμού θέσης για να μάθουν πότε το υποψήφιο θύμα δεν βρίσκεται στο σπίτι!

Μετάδοση προσωπικών δεδομένων και πληροφοριών εντοπισμού σε μορφή κείμενου

20% των εφαρμογών μεταδίδουν credentials του χρήστη χωρίς να έχουν κρυπτογραφηθεί.

Πολλές από τις συγκεκριμένες εφαρμογές και υπηρεσίες διαθέτουν ένα cloudserverπου οι χρήστες πρέπει να κάνουν uploadκαι να αποθηκεύουν τα δεδομένα που συλλέγουν οι εφαρμογές τους για φύλαξη και ανάλυση. Πέρα από απλή αποθήκευση των δεδομένων των δραστηριοτήτων, ορισμένες υπηρεσίες συλλέγουν επιπλέον προσωπικές πληροφορίες όπως ημερομηνία γέννησης, διεύθυνση, φωτογραφίες και άλλα στατιστικά. Για την αποφυγή μη εξουσιοδοτημένης πρόσβασης στα δεδομένα του χρήστη, αυτές οι υπηρεσίες ζητούν δημιουργία λογαριασμού από τους χρήστες που θα προστατεύονται με usernameκαι password.

Το ζήτημα που παρατηρήσαμε ήταν ότι ένα απαράδεκτα μεγάλο ποσοστό αυτών των εφαρμογών δεν χειρίζονται τα ευαίσθητα δεδομένα , όπως usernames (π.χ emailδιευθύνσεις) και passwords, με ασφάλεια. Πολλά από αυτά μεταδίδουν δεδομένα που έχουν δημιουργηθεί από τους χρήστες όπως logincredentials, μέσω ενός μη ασφαλούς μέσου όπως το διαδίκτυο, χωρίς καμία προσπάθεια προστασίας του (π.χ. μέσω κρυπτογράφησης). Αυτό σημαίνει ότι τα δεδομένα μπορούν εύκολα να υποκλαπούν και να διαβαστούν από τους επιτιθέμενους. Η έλλειψη βασικής ασφάλειας αποτελεί σημαντική παράλειψη και εγείρει ερωτήματα σχετικά με το πως αυτές οι υπηρεσίες χειρίζονται τις αποθηκευμένες πληροφορίες που έχουν στους servers τους.

Γιατί πρέπει να ανησυχούμε για αυτό? Η διαβίβαση των credentialsσε μορφή ακρυπρογράφητου κειμένου είναι ιδιαίτερα προβληματική δεδομένου ότι μεγάλη πλειονότητα των ανθρώπων τείνουν να επαναχρησιμοποιούν τα logincredentials σε πολλές ιστοσελίδες. Χάρη στην επαναχρησιμοποίηση, οι λεπτομέρειες loginπου έχουν κλαπεί από μία υπηρεσία μπορούν πιθανώς να χρησιμοποιηθούν για να αποκτηθεί πρόσβαση σε ευαίσθητες υπηρεσίες όπως τα emailaccounts ή λογαριασμούς από onlineshopping.

Έλλειψη πολιτικών ιδιωτικότητας

52% των εφαρμογών που εξετάστηκαν δεν έχουν πολιτικές ιδιωτικότητας

Οι εφαρμογές self-trackingαπό τη φύση τους έχουν δημιουργηθεί για να συλλέγουν και να αναλύουν προσωπικές πληροφορίες. Είναι λοιπόν λογικό να αναμένουμε και πράγματι απαιτείται από το νόμο σε πολλές χώρες (όπως το OnlinePrivacyProtectionAct 2003), οι εταιρείες που συλλέγουν και διαχειρίζονται προσωπικά δεδομένα να έχουν μία πολιτική ιδιωτικότητας σε εμφανές σημείο και με εύκολη πρόσβαση. Οι πολιτικές ιδιωτικότητας πρέπει να είναι εύκολα κατανοητές και να εμφανίζονται στους χρήστες πριν αυτοί εγγραφούν στην υπηρεσία, έτσι ώστε να έχουν την επιλογή πριν αποφασίσουν να τη χρησιμοποιήσουν. Παρά την σπουδαιότητα ύπαρξης μίας πολιτικής ιδιωτικότητας, η πλειονότητα των εφαρμογών δεν είχαν καμία!

Γιατί πρέπει να ανησυχούμε για αυτό? Η έλλειψη πολιτικής ιδιωτικότητας είναι μία πιθανή ένδειξη για το πώς οι παροχείς υπηρεσιών και εφαρμογών self-trackingχειρίζονται το θέμα της ασφάλειας. Οι χρήστες πρέπει να είναι καλά πληροφορημένοι και να το λάβουν αυτό υπόψη πριν εγγραφούν σε αυτές τις υπηρεσίες.

Ακούσια διαρροή δεδομένων

Ο μέγιστος αριθμός μοναδικών domainsπου ήρθε σε επαφή μία μόνο εφαρμογή ήταν 14 και ο μέσος όρος ήταν 5.

Κατά μέσο όρο βρήκαμε ότι οι εφαρμογές έρχονται σε επαφή με 5 διαφορετικά Internetdomains.Στη χειρότερη περίπτωση, βρήκαμε μία εφαρμογή που ήρθε σε επαφή με 14 διαφορετικά domainsτη σύντομη περίοδο της λειτουργίας της. Ενώ είναι κατανοητό ότι οι εφαρμογές μπορεί να χρειάζεται να επικοινωνήσουν με ένα μικρό αριθμό domainsέτσι ώστε να μπορούν να μεταδώσουν τα συλλεχθέντα δεδομένα και να αποκτήσουν πρόσβαση σε ορισμένα APIs, όπως στις διαφημίσεις, μπορεί να προκαλέσει έκπληξη ότι σημαντικός αριθμός εφαρμογών έρχονται σε επαφή με 10 ή περισσότερα διαφορετικά domainsγια διάφορους σκοπούς. Πολλές από τις εφαρμογές δίνουν αναφορά σε υπηρεσίες ανάλυσης, ενώ άλλες χρησιμοποιούν αυτά τα analyticsγια να εξετάσουν την απόδοση της εφαρμογής για τυχόν θέματα αστοχίας της.

Παρά τις καλές προθέσεις των developersτων εφαρμογών, οι πληροφορίες για τις δραστηριότητες των χρηστών μπορούν να αποκαλυφθούν με τον πιο απίθανο τρόπο, χάρη στο πως η εφαρμογή χρησιμοποιεί υπηρεσίες τρίτων. Υπάρχουν μία σειρά από ενδεικτικά παραδείγματα όπου η εφαρμογή μπορεί ακουσίως να διαρρεύσει τα δεδομένα σας.

Γιατί πρέπει να ανησυχούμε για αυτό? Πολλοί από εμάς αρέσκονται στο να μοιράζονται λεπτομέρειες από τις ζωές μας συμπεριλαμβανομένου των φίλων και της οικογένειας, υπάρχουν και ορισμένα πράγματα που δεν είναι απαραίτητο να θέλουμε να μοιραστούμε. ‘Όταν επιλέγουμε να μην μοιραζόμαστε κάτι, σίγουρα δεν επιθυμούμε τους παρόχους της υπηρεσίας να το κάνουν αυτό για εμάς.

Άλλες αδυναμίες ασφαλείας

Σε κάθε υπηρεσία διαμοιρασμού, οι λογαριασμοί των χρηστών χρησιμοποιούνται για να διαχωρίζουν το statusτων χρηστών και τα δεδομένα του από των άλλων. Οι συνεδρίες χρησιμοποιούνται για να διαχειρίζονται και να επεξεργάζονται τη ροή των δεδομένων, έτσι ώστε οι χρήστες μπορούν να έχουν πρόσβαση μόνο στα δικά τους δεδομένα και να εκτελούν εργασίες στα δεδομένα που έχουν πρόσβαση. Η ελλειπής διαχείριση των συνεδριών μπορεί να γίνει θέμα εκμετάλλευσης από κυβερνοεγκληματίες που μπορούν να εισχωρήσουν στα sessionsκαι να “παριστάνουν” άλλους χρήστες. Αυτό μπορεί να έχει ως αποτέλεσμα διαρροή πληροφοριών, βανδαλισμό των πληροφοριών και άλλα προβλήματα.

Γιατί πρέπει να ανησυχούμε για αυτό? Φτωχά σχεδιασμένα συστήματα μπορούν να εκθέσουν σοβαρές ευπάθειες και να γίνουν αντικείμενο εκμετάλλευσης των επιτιθέμενων. Αυτό μπορεί να οδηγήσει σε πλήρη παραβίαση των δεδομένων των χρηστών από την πλευρά του παρόχου της υπηρεσίας. Ανάλογα από το βαθμό ευαισθησίας των δεδομένων , οι επιπτώσεις για τους χρήστες μπορεί να κυμαίνονται από ασήμαντες έως πολύ σοβαρές.

Τι μπορείτε να κάνετε για αυτό το θέμα;

Με μία πρώτη ματιά, η ηλεκτρονική καταγραφή και η ιδιωτικότητα φαίνεται να μην μπορούν να συμπορευτούν. Πώς η καταγραφή πληθώρας δεδομένων για τον εαυτό σας και η διατήρηση της ιδιωτικότητας σας μπορεί να είναι εφικτή; Σκεπτόμενοι τα ζητήματα ασφάλειας και ιδιωτικότητας που έχουν ανακύψει, το προφανές συμπέρασμα είναι ότι αν αναζητάτε την ιδιωτικότητά σας, το καλύτερο είναι να μην προβείτε καθόλου στο self-tracking!!

Παρά τα πιθανά ρίσκα ασφαλείας και ιδιωτικότητας, το κίνημα που στηρίζει την ηλεκτρονική καταγραφή του εαυτού μας συνεχίζει να έχει σημαντική αύξηση και αναμένεται να συνεχίσει την ανάπτυξή του για μερικά χρόνια ακόμη. Για να διασφαλίσει ότι οι χρήστες θα εξακολουθήσουν να απολαμβάνουν αυτή τη δραστηριότητα με ασφάλεια, η Symantecπροτείνει να λάβουν ορισμένα βασικά μέτρα για την προστασία τους, με στόχο να θωρακιστούν απέναντι στο ρίσκο έκθεσης των προσωπικών self-trackingπληροφοριών.

  • Χρησιμοποιήστε το κλείδωμα οθόνης ή ένα κωδικό για να αποτρέψετε μη εξουσιοδοτημένη πρόσβαση στη συσκευή σας
  • Μην χρησιμοποιείτε το ίδιο usernameκαι passwordσε διαφορετικές ιστοσελίδες
  • Χρησιμοποιείτε ‘ισχυρά’ passwords
  • Απενεργοποιείστε το Bluetoothόταν δεν το χρειάζεστε
  • Να είστε προσεκτικοί όταν ιστοσελίδες και υπηρεσίες σας ζητούν μη αναγκαίες ή υπερβολικές πληροφορίες
  • Να είστε προσεκτικοί όταν χρησιμοποιείτε τη δυνατότητα διαμοιρασμού των πληροφοριών αυτών στα socialmedia
  • Να αποφεύγετε τη δυνατότητα διαμοιρασμού λεπτομερειών της τοποθεσίας σας στα socialmedia
  • Να αποφεύγετε εφαρμογές και υπηρεσίες που δεν εμφανίζουν σε διακριτό σημείο την πολιτική ιδιωτικότητάς τους
  • Να διαβάζετε και να κατανοείτε την πολιτική ιδιωτικότητας των εφαρμογών και υπηρεσιών που χρησιμοποιείτε
  • Να κάνετε εγκατάσταση των updatesσε εφαρμογές και λειτουργικά συστήματα όταν γίνονται διαθέσιμα
  • Να χρησιμοποιείτε μία λύση ασφαλείας για τη συσκευή σας
  • Να χρησιμοποιείτε πλήρη κρυπτογράφηση της συσκευής εάν είναι διαθέσιμη

Περισσότερες πληροφορίες

Όσοι χρειάζονται περισσότερες πληροφορίες σχετικά με αυτό το θέμα, μπορούν να διαβάσουν το τελευταίο whitepaperμε τίτλο: Πόσο ασφαλής είναι η ηλεκτρονική καταγραφή του εαυτού σας;