As pulseiras inteligentes – que medem batimentos cardíacos e calorias queimadas, entre outros quesitos – se tornaram muito populares, pois ajudam os usuários a monitorarem suas atividades físicas, a ingestão de calorias e se manterem em forma. No entanto, tais dispositivos também processam dados pessoais valiosos dos proprietários e é importante mantê-los seguros. O pesquisador Roman Unuchek, da Kaspersky Lab, examinou como várias pulseiras inteligentes interagem com os smartphones e descobriu alguns fatos surpreendentes.
Segundo concluiu em sua investigação, o método de autenticação utilizado em muitas pulseiras inteligentes permite que terceiros possam se conectar de maneira invisível com o dispositivo, executar comandos e, em alguns casos, extrair dados armazenados no dispositivo. Nos aparelhos inspecionados pelo pesquisador, os dados se limitavam à quantidade de passos dados pelo proprietário na hora anterior. No entanto, no futuro, quando a próxima geração de pulseiras, capazes de armazenar um volume maior e mais variado de dados, começar a ser vendida, é possível que se aumente de maneira significativa o risco de vazamento de dados médicos delicados dos proprietários.
A conexão maliciosa é possível devido a forma como a pulseira inteligente se conecta com o smartphone. Segundo a investigação, um dispositivo com sistema operacional Android versão 4.3 ou posterior, com um aplicativo especial não autorizado instalado, pode se conectar com pulseiras inteligentes de alguns fornecedores. Para estabelecer uma conexão, os usuários devem confirmar o emparelhamento apertando um botão na pulseira inteligente. Os invasores podem vencer facilmente este obstáculo, porque a maioria das pulseiras de atividade física não têm tela. Quando a pulseira vibra solicitando que seu proprietário confirme o emparelhamento, a vítima não tem como saber se está confirmando uma conexão com seu próprio aparelho ou com o de outra pessoa.
"Esta Prova de Conceito depende de muitas condições para funcionar apropriadamente. Além disso, um invasor não poderia reunir dados realmente críticos, tais como números de senhas ou de cartões de crédito. Contudo, demonstra que há formas de um invasor se aproveitar de erros deixados por parte dos desenvolvedores do dispositivo. As pulseiras inteligentes disponíveis no mercado hoje em dia são bastante limitadas, e capazes apenas de contar passos e ciclos de sono. No entanto, a próxima geração destes dispositivos está a caminho e deve manipular um volume maior de informações dos usuários. É importante pensar na segurança destes dispositivos agora, e assegurar que a maneira como o rastreador interage com smartphone seja segura", afirma Roman Unuchek, analista sênior de Malware da Kaspersky Lab.
Os especialistas da Kaspersky Lab aconselham aos usuários que fiquem atentos quanto a segurança de seus dispositivos e verifiquem com os fornecedores das pulseiras se há possibilidade de um potencial ataque em seu produto.