Az elmúlt években a kiberbiztonsági szektor számos alkalommal hívta fel a figyelmet arra, hogy a személyes adatok nagyon értékes árucikkekké váltak a szinte korlátlan számú visszaélési lehetőségnek köszönhetően – az áldozatok kifinomult profilozásától kezdve a felhasználói viselkedés előrejelzéséig. A fogyasztói paranoia ellenére a személyes adatokkal való visszaélések száma egyre csak nő, ugyanis sokan fordítják figyelmüket az online platformok és az adatgyűjtési módszerek felé.

Az egészséges életmód is egyre elterjedtebb, és sokan használnak okoseszközöket és/vagy alkalmazásokat azért, hogy fenntartsák és segítsék ezt az életvitelt. De ez sajnos veszélyes következményekkel járhat. Ezeket az okoskészülékeket, például az okosórákat vagy a fitneszkarkötőket gyakran használják a sporttevékenységek során. Sok készüléknek van olyan beépített szenzora, amely képes a gyorsulást is mérni, és sokszor kapcsolódik valamilyen forgó érzékelőhőz, pl. giroszkóphoz azért, hogy pontosabb legyen a lépésszámláló, valamint a felhasználó aktuális pozíciójának azonosítása. A Kaspersky Lab szakértői úgy döntöttek, alaposabban is megvizsgálják ezeket a készülékeket és azt, hogy milyen információkhoz képesek hozzájutni az illetéktelenek.

A szakértők egy meglehetősen egyszerű alkalmazást fejlesztettek, amely beépített gyorsulásmérőkből és giroszkópból származó jeleket rögzített. A rögzített adatokat ezután egy hordozható eszköz memóriájába vagy egy Bluetooth-szal párosított mobiltelefonra töltötték fel.

A Kaspersky Lab közleménye szerint a matematikai algoritmusok és az alkalmazásból kinyert adatok segítségével azonosítani lehetett a viselkedési mintákat, valamint a tevékenységek időtartamát, kezdetét és végét. A legfontosabb azonban, hogy a kísérlet során olyan érzékeny felhasználói tevékenységeket is képesek voltak azonosítani, mint például a jelszó beírása a számítógépbe (96%-os pontossággal), a PIN-kód megadása az ATM készülékeken (87%-os eredményesség) és a mobiltelefonok feloldása (64%-a bizonyult eredményesnek).

Kaspersky Lab

Maga a jel- és az adatkészlet az adott eszköz tulajdonosára jellemző egyedi viselkedésminta. A szakértők szerint ezekkel az adatokkal egy harmadik fél megpróbálhatja beazonosítani a felhasználót – akár egy regisztrációs szakaszban lévő e-mail-cím segítségével, akár pedig az Android-fiók hitelesítő adataihoz való hozzáféréssel. Ezután már csupán idő kérdése, hogy egy felhasználót részletesen azonosítani lehessen, beleértve a napi rutint és azt, hogy pontosan mikor oszt meg értékes adatot. Mivel a felhasználói adatok értéke gyorsan nő, nem lesz meglepő, ha ezeket az adatokat gyorsan tudják értékesíteni a kiberbűnözők.

Nem kell feltétlenül exploittól tartani mindig, a kiberbűnözők határa mindössze a képzeletük és technikai tudásuk, mert a felhasználói adatokkal könnyedén lehet – legyen bármilyen jellegű, vagy témájú – kereskedni, visszaélni, kihasználni stb. Például a kapott jeleket dekódolhatják neurális hálózatok segítségével, vagy lehallgató készüléket helyezhetnek el az áldozat leggyakrabban látogatott ATM-készülékénél.

A Kaspersky Lab kutatói az alábbiakat javasolják okoskészülékek használata esetén:

• Ha az alkalmazás kérelmet küld a felhasználói adatok lekérésére, akkor legyen óvatosak, mivel ennek segítségével a bűnözők könnyen létrehozhatják a tulajdonos „digitális ujjlenyomatát”.
• Ha az alkalmazás kérelmet küld a földrajzi adatok elküldésére, akkor különösen legyen óvatos. Ne adjon a fitneszkarkötőjéhez tartozó alkalmazásnak extra jogosultságokat.
• A készülék gyors merülése aggodalomra adhat okot. Ha a modul néhány óra után lemerül, akkor érdemes ellenőrizni a háttérben zajló alkalmazéstevékenységet – elképzelhető, hogy a készülék folyamatosan adatokat továbbít jogosulatlanok felé.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.