SCIENZA E RICERCA

Fitness tracker: quanto sono sicuri?

Assomigliano a dei semplici orologi, ma sono capaci di fare molto di più che indicare l’ora. I fitness tracker collezionano   dati relativi allo stile di vita e allo stato di salute degli utenti su larga scala, aiutandoli nell’allenamento o nella perdita di peso. Un team di ricercatori Italo-Tedesco ha investigato potenziali opportunità di attacchi che coinvolgono i dispositivi di fitness tracking, e individuato importanti falle di sicurezza. Il team internazionale vede coinvolti il gruppo SPRITZ  (Security and Privacy Research Group, guidato da Mauro Conti dell’università di Padova), e il gruppo CYSEC (guidato da Ahmad-Reza Sadeghi, dell’università TU Darmstadt).

La popolarità dei dispositivi “fitness tracker” è in costante crescita. Nel mondo, circa 20 milioni di fitness tracker sono stati venduti nel primo trimestre del 2016. Molti di questi dispositivi sono dotati di GPS e altri sensori, e misurano le distanze percorse dagli utenti che fanno jogging, o monitorano il loro battito cardiaco per capire se sono a riposo. Questi dati non sono solo utilizzati per gli ‘scopi originali’ per i quali sono raccolti, ma sempre di più sono utilizzati da enti di terze parti. Per esempio, nel 2014, i dati raccolti dai dispositivi di fitness tracking sono stati usati come prova in un caso giudiziario negli Stati Uniti, come riporta Forbe Magazine. Polizia e avvocati hanno iniziato a riconoscere i dispositivi indossabili (“wearables”) come “scatole nere” del corpo umano, scrive il  Daily News ad aprile 2016. Inoltre, alcune compagnie assicurative hanno iniziato a offrire sconti sulle assicurazioni sanitarie alle persone che condividono con loro dati derivanti dai loro dispositivi di fitness tracking. Questo può diventare pane per i denti di truffatori, i quali possono trarre benefici in modo fraudolento, o persino influenzare processi giudiziari. È pertanto di fondamentale importanza trasmettere, processare, e memorizzare questi dati personali utilizzando standard di sicurezza elevati.

Per questo motivo, il team italo-tedesco ha esaminato 17 diversi dispositivi di fitness tracking, sia di noti produttori, che di brand meno noti. I ricercatori hanno manipolato i dati trasmessi dai dispositivi e destinati a un server cloud, simulando un attacco informatico noto come “man-in-the-middle”, ed esaminato la sicurezza dei protocolli di comunicazione utilizzati dai fitness tracker.

Anche se tutti i sistemi di tracking cloud-based testati usano un protocollo di cifratura come HTTPS per trasferire i dati, i ricercatori sono stati capaci di falsificare i dati in tutti i casi. Tra tutti i dispositivi esaminati, solo quelli provenienti da quattro produttori adottano qualche misura (minima) per mantenere l’integrità dei dati (ovvero, per garantire che i dati rimangano inalterati quando viaggiano dal dispositivo al server cloud). Questo non può fermare un truffatore ben motivato, che può infatti manipolare i dati inviati da un fitness tracker anche con conoscenze minime di Information Technology. Nessuno dei dispositivi sembra infatti adottare cifratura End-to-End, o altre misure che renderebbero molto più difficile manomettere i dispositivi.

“Cinque dei dispositivi esaminati non permettono di sincronizzare i dati con un servizio online spiega Mauro Conti - Purtroppo però, i produttori di questi dispositivi memorizzano i dati personali degli utenti in chiaro, ovvero senza cifrarli, e quindi accessibili da chiunque, incluso lo smartphone con il quale sono connessi; questo introduce un ulteriore rischio potenziale di furto di dati nel caso in cui lo smartphone venga rubato o infettato da malware. Questo rappresenta un altro problema evidente di sicurezza evidenziato dal team congiunto di ricercatori di Padova e TU Darmstadt”.

Le vulnerabilità identificate da questo studio possono essere corrette utilizzando tecnologie note, con un maggiore impegno da parte dei produttori nell’integrare queste tecnologie nei loro prodotti.

POTREBBE INTERESSARTI

© 2018 Università di Padova
Tutti i diritti riservati P.I. 00742430283 C.F. 80006480281
Registrazione presso il Tribunale di Padova n. 2097/2012 del 18 giugno 2012