A Kaspersky Lab szakértői úgy döntöttek, alaposabban is megvizsgálják ezeket a készülékeket és azt, hogy milyen információkhoz képesek hozzájutni az illetéktelenek.
A probléma megvizsgálása érdekében a szakértők egy meglehetősen egyszerű alkalmazást fejlesztettek, amely beépített gyorsulásmérőkből és giroszkópból származó jeleket rögzített. A rögzített adatokat ezután egy hordozható eszköz memóriájába vagy Bluetooth-szal párosított mobiltelefonra töltötték fel.
Matematikai algoritmusok és az alkalmazásból kinyert adatok segítségével azonosítani lehetett a viselkedési mintákat, valamint a tevékenységek időtartamát, kezdetét és végét. A legfontosabb azonban, hogy olyan érzékeny felhasználói tevékenységeket is képesek voltak azonosítani, mint például a jelszó beírása a számítógépbe (96%-os pontossággal), a PIN-kód megadása az ATM készülékeken (87%-os eredményesség) és a mobiltelefonok feloldása (64%-a bizonyult eredményesnek).
Maga a jel-, és az adatkészlet az adott eszköz tulajdonosára jellemző egyedi viselkedés minta. Ezekkel az adatokkal egy harmadik fél megpróbálhatja beazonosítani a felhasználót – akár egy regisztrációs szakaszban lévő email cím segítségével, akár pedig az Android-fiók hitelesítő adataihoz való hozzáféréssel.
Ezután már csupán idő kérdése, hogy egy felhasználót részletesen azonosítani lehessen, beleértve a napi rutint és azt, hogy pontosan mikor oszt meg értékes adatot. Mivel a felhasználói adatok értéke gyorsan nő, nem lesz meglepő, ha ezeket az adatokat gyorsan tudják értékesíteni a kiberbűnözők.
Nem kell feltétlenül exploittól tartani mindig, a kiberbűnözők határa mindössze a képzeletük és technikai tudásuk, mert a felhasználói adatokkal könnyedén lehet – legyen bármilyen jellegű, vagy témájú – kereskedni, visszaélni, kihasználni stb. Például a kapott jeleket dekódolhatják neurális hálózatok segítségével, vagy lehallgató készüléket helyezhetnek el az áldozat leggyakrabban látogatott ATM-készülékénél. Már láthattunk példát arra, hogy a kiberbűnözők 80%-os eredményességgel próbálnak gyorsulásmérő jelek dekódolásával jelszavakat, valamint az okosórán tárolt adatok segítségével PIN-kódot kinyerni.
A Kaspersky Lab kutatói az alábbiakat javasolják okos készülékek használata esetén:
1. Ha az alkalmazás kérelmet küld a felhasználói adatok lekérésére, akkor legyünk óvatosak, mivel ennek segítségével a bűnözők könnyen létrehozhatják a tulajdonos „digitális ujjlenyomatát”.
2. Ha az alkalmazás kérelmet küld a földrajzi adatok elküldésére, akkor különösen legyen óvatos. Ne adjon a fitnesz karkötőjéhez tartozó alkalmazásnak extra jogosultságokat.
3. Ne használjuk az ilyen készülékekhez a vállalati email címünket bejelentkezéshez.
4. A készülék gyors akkumulátor fogyasztása is aggodalomra adhat okot. Ha a modul néhány óra után lemerül, akkor ellenőrizze a tevékenységét. Elképzelhető, hogy adatokat továbbít jogosulatlanok felé.
