Relógios inteligentes podem se tornar um pesadelo

Hoje parece que toda empresa possui um modelo de relógio inteligente em sua linha de produtos… Eles podem fazer de tudo: desde acompanhar seu ritmo cardíaco e fazer chamadas até marcar o tempo. Mas você sabia que também podem ser usados para monitorar o que você está digitando?

Ok, isso é novidade.

Wearables como monitores fitness e relógios inteligentes aumentaram as preocupações em segurança desde seu design. Isso ocorre primariamente pelo fato de que os dados que coletam e transferem para a nuvem podem terminar em mãos erradas ou serem vendidos por preço mais alto.

Fabricantes de dispositvos de monitoramento fitness fazem o máximo para convencer usuários que seus dados estão seguros, mas ao mesmo tempo vendem braceletes inteligentes em massa para clientes corporativos. Por exemplo, empresas podem usá-los para monitorar a saúde de seus funcionários, o que definitivamente não é a forma de se tratar dados privados. No fim, esse problema não é provavelmente a pior parte da questão dos dispositvos de monitoramento fitness e relógios inteligentes.

Quando Roman Wnuchek, da Kaspersky Lab, descobriu ser bem fácil conectar o smartphone a praticamente qualquer dispositivo de monitoramento fitness, mesmo já conectado a outro dispositivo, ele concluiu sua pesquisa com uma frase relativamente positiva:

“Ao hackear minha pulseira, um criminoso não pode acessar todos os dados de usuário já que esses não são armazenado no dispositivo ou no telefone – o aplicativo transfere regularmente os dados da pulseira para a nuvem.”

Kaspersky Lab Expert: How I Hacked my Smart Bracelet http://t.co/0DNsNeLKRP via @Securelist #wearables #security pic.twitter.com/DCcZHtFqPO

— Kaspersky Lab (@kaspersky) March 26, 2015

Mais tarde Tony Beltramelli, estudante de TI na Universidade de Copenhagen, mostrou que criminosos não precisam desses dados para causar danos aos donos desses dispositivos. Em sua tese de mestrado, ele demonstrou que, depois de obter acesso ao relógio inteligente, alguém pode monitorar os gestos do dono e usar engenharia reversa para converter essa informação em símbolos digitados em um teclado.

O pesquisador propôs que cada usuário possui seu jeito único de digitar. Pesquisadores sugeriram uma vez que esse fato pode ser usado para melhorar segurança. De modo a obter acesso a algo, você precisaria não só digitar uma senha, mas o fazer de uma certa maneira – com um padrão de movimentos que só o dono do dispositivo seria capaz de usar.

Em seu experimento, Beltramelli usou um Sony Smartwatch 2 Android, um teclado alfanumérico feito a mão, e um código com algumas funções de inteligência artificial. Seu software estava ciente de seu padrão único de digitação e dessa forma, usando os dados de sensores de movimento, incluídos no smartwatch, foi capaz de converter esses dados, acertando 60% das vezes.

Ok, alguém pode usar um relógio inteligente hackeado para descobrir o que digitamos. E agora?

O teclado numérico poderia ser o de um ATM ou uma maquininha de cartão de uma loja. Depois de digitar, o criminoso sabe a senha do seu cartão de crédito. Esse tipo de teclado também poderia ser o do desbloqueio do seu telefone – uma vez que a pessoa mal intencionada invada seu celular, pode facilmente ter acesso a suas informações.

Um terço dos brasileiros guarda segredos em smartphones, apesar de risco de vazamento | https://t.co/ebTrat1nmz pic.twitter.com/Pg4db5FrZl

— Kaspersky Brasil (@Kasperskybrasil) November 17, 2015

Além disso, se alguém puder fazer com que o software reorganize os dígitos do teclado, ele pode melhorar de modo que o método perceba a diferença entre letras em um teclado de computador comum. Se isso ocorrer, o criminoso pode ser capaz de ter acesso a qualquer coisa que você acesse, tornando toda a sua correspondência insegura. Bem, já que você só tem um relógio inteligente, apenas uma das suas mãos poderá ser monitorada, mas metade das letras que você digitou podem ser suficientes para entender exatamente o que você está digitando.

Não temos prova nenhuma de que ameaças como essas podem estar por aí, mas acredite em nós, você com certeza não vai querer encontrar com elas se ou quando elas existirem – nesse caso existe apenas uma forma de se proteger. Você precisa certo de que não existe nenhum malware instalado no seu relógio inteligente.

Kaspersky e WISeKey fazem parceria para segurança de #wearables | https://t.co/euk8qtci8O pic.twitter.com/iy3pFbD496

— Kaspersky Brasil (@Kasperskybrasil) February 26, 2016

Aqui vão duas coisas que você pode fazer para aumentar a segurança dos wearables.
Baixe seus aplicativos somente das lojas oficiais como a Apple App Store, Google Play ou Amazon Appstore. Aplicativos desses locais não são completamente a prova de falhas, mas pelo menos eles são checados pelos representantes das lojas e existe um sistema de filtragem – nem todo aplicativo pode entrar nessas lojas.

Utilize uma solução de segurança adequada. Já que todos os aplicativos que chegam ao seu relógio são primeiro baixados no seu celular, eles serão automaticamente verificados se você tiver o Kaspersky Internet Security para Android instalado.