© StockSnap on Pixabay

Negli ultimi anni, l'industria della cybersecurity ha mostrato che i dati privati degli utenti stanno diventando un bene molto prezioso. Tuttavia, mentre la paranoia dei consumatori sull'uso improprio delle informazioni personali sta crescendo, con molte persone che si concentrano sulle piattaforme online e sui metodi di raccolta dei dati, altre fonti di minacce restano senza protezione. È il caso, per esempio, dei fitness tracker, che molti utilizzano per monitorare la propria attività fisica e sportiva. Una buona abitudine per tenersi in forma, che potrebbe però avere conseguenze pericolose se non si presta la dovuta attenzione alla sicurezza. E lo stesso vale per gli smartwatch. La maggior parte di questi dispositivi, infatti, è dotata di sensori di accelerazione incorporati (gli accelerometri), che sono spesso combinati con sensori di rotazione (i giroscopi) per il conteggio dei passi e per conoscere la posizione corrente del loro utilizzatore. Strumenti che possono fornire molte informazioni sensibili ai cybercriminali, come hanno dimostrato gli esperti di Kaspersky Lab analizzando diversi smartwatch di una serie di produttori.

Dalla posizione al pin del bancomat

Per esaminare la questione, gli esperti hanno sviluppato un'applicazione per smartwatch abbastanza semplice che registrava segnali da accelerometri e giroscopi integrati. Utilizzando gli algoritmi matematici disponibili per la potenza di calcolo del wearable intelligente, è stato possibile identificare alcuni modelli comportamentali, capire il momento e il luogo nel quale un utente si stava muovendo e anche per quanto tempo ha condotto una certa azione. Cosa ancora più importante, è stato possibile identificare alcune attività sensibili degli utenti, compreso l’inserimento di una passphrase sul computer (con una precisione fino al 96%), l'uso di un codice pin presso i bancomat (circa all'87%) e lo sblocco del proprio smartphone (circa al 64%).
Non solo. Lo stesso set di dati del segnale è un modello comportamentale unico per il proprietario del dispositivo. Utilizzando questo, una terza parte potrebbe andare oltre e cercare di riconoscere l'identità dell’utente – sia tramite un indirizzo email richiesto in fase di registrazione da una app, sia tramite l'accesso alle credenziali dell'account su Android. Dopo questo, l’identificazione di informazioni dettagliate su una potenziale vittima – compresa la sua routine quotidiana o i momenti nei quali vengono inseriti dati importanti – è solo una questione di tempo.

I consigli degli esperti

Come capire se si è stati presi di mira dai pirati informatici? Ecco i campanelli d'allarme cui prestare attenzione secondo gli esperti di Kaspersky Lab.

  1. Se l'applicazione invia una richiesta per il recupero delle informazioni sull'account dell’utente, questo potrebbe essere un motivo di preoccupazione, perché i cybercriminali potrebbero facilmente ricostruire una sorta di "impronta digitale" del proprietario del dispositivo.
  2. Anche la richiesta di permesso per l’invio di dati di geolocalizzazione da parte dell’applicazione dovrebbe essere un motivo di preoccupazione. Non fornire alle applicazioni di fitness tracking che si scaricano sul proprio smartwatch permessi extra o settare il proprio indirizzo email aziendale come login.
  3. Un consumo veloce della batteria di un dispositivo può essere un ulteriore campanello di allarme.  Se il gadget si scarica in poche ore invece che durare un intero giorno, bisognerebbe controllare cosa sta davvero facendo. Potrebbe essere impegnato nella scrittura di log di segnale o, ancora peggio, inviarli da qualche parte.