Тестирование Надежности Фитнес — Браслетов и устройств Apple Watch

17Некоторые компании медицинского страхования финансируют приобретение подобных гаджетов или поощряют их использование, так как люди, поддерживающие отличную спортивную форму, меньше попадают в неприятности и не требуют страховых выплат. Поэтому эксперты AV – TEST исследовали 7 самых современных фитнес – браслетов, разработанных на платформах Android и Apple Watch на предмет их безопасности. Результатом исследования явился вывод, что отдельные фирмы до сих пор, к всеобщему разочарованию, делают непростительные промахи.

Умные часы и спортивные браслеты или передатчики завладели всеобщей популярностью, и даже, рекомендованы к использованию различными страховыми компаниями по всему миру. Европейское законодательство позволяет медицинским страховым компаниям субсидировать приобретение этих приспособлений. В Соединенных Штатах назначаются страховые премии, в случае, если владелец страхового полиса может продемонстрировать свои спортивные успехи при помощи данных, полученных фитнес – браслетом. Например, Нью-Йоркская молодая компания «Oscar Health», платит владельцам страхового полиса по одному доллару ежедневно, при условии, что они выполнят дневную норму в фитнесе.

На первый, самый поверхностный взгляд, текущие и прогнозируемые продажи приборов мониторинга спортивных достижений способны вызвать возгласы восхищения. В соответствии с исследованиями, проведенными международной корпорацией IDC, в 2014 году продажи подобных устройств составляли 26 миллионов, в 2015 – превысили 75 миллионов, ожидается, что в 2016 году число продаж возрастет до 100 миллионов копий.Приборы для отслеживания успехов в спорте подвержены стабильно высокой степени риска.1

Приведем результаты теста, определяющего стоимость популярных и самых современных браслетов. Все исследуемые браслеты могут работать лишь в паре со специально установленной программой на смартфоне. Вот почему во всех наших находках тестируются и сами устройства, и программное обеспечение. Лаборатория также осуществляет детальную проверку, результаты которой доступны для скачивания в PDF формате.

Apple Watch являет собой особенное устройство: поэтому многие методы проверки нельзя применять и к iOS, и к Android. Вот почему, анализ Apple Watch будет произведен отдельно и описан в заключительной части статьи.runtastic-moment

Тестировались следующие модели:

— Basis Peak
— Microsoft Band 2
— Mobile Action Q-Band
— Pebble Time
— Runtastic Moment Elite
— Striiv Fusion
— Xiaomi MiBand
— Apple Watch (смотрите в конце статьи).

Эксперты сконцентрировали все свое внимание на исследовании двух главных аспектов:

1. С точки зрения личного использования, насколько данные, сохраненные на браслете или непосредственно в памяти приложения, могут быть защищены от шпионских атак и хакеров?
2. Насколько данные, сохраненные на браслете или в установленном приложении, защищены от взлома и фальсификации, что жизненно важно для медицинских страховых компаний?

Первая проблема связана с тем, что хакеры могут некорректно использовать личную информацию о пользователе устройства. Это считается значимым недостатком. Все личные данные, безусловно, должны быть защищены. Вторая проблема касается тех самых медицинских страховых компаний, которые награждают держателей полисов за достижение особых результатов в сфере здорового образа жизни. Если же браслет или специальное приложение, поддаются воздействию извне, то это их свойство определенно будет использовано не в самых благих целях.

Три шага на пути к определению степени риска

Эксперты подвергли браслеты всех выбранных марок проверке по десяти основным критериям, которые были разделены на три основные группы: уровень защиты, работа приложения и общение онлайн. Графическое изображение оценки риска демонстрирует области, в которых испытуемый экспонат имеет недоработки и классифицируются по такому критерию, как риск.

Специальные термины «ошибка» и «вакуум безопасности» были избраны специально, так как в исследуемых значениях наблюдался значительный уровень опасности проникновения, но который, все же, нельзя считать «открытой дверью». Эксперты, при этом, совсем не пытались специально «взломать» исследуемую зону. Они всего лишь попытались рассмотреть теоретическую возможность «взлома» и его предполагаемые последствия.

Браслет – связь, идентификация, «взлом»

Видимость: Во всех браслетах, предназначенных для занятия спортом, установлено устройство, которое называется Bluetooth и используется для связи со смартфоном. Приведем основные проблемы, которые необходимо исследовать сначала. Один из важнейших аспектов, имеющих прямое отношение к оценке степени безопасности – это невидимость Bluetooth для других подобных устройств.

Вы не можете к нему подсоединиться и отследить его. Лишь в случае специального парного соединения устройства могут осуществить связь друг с другом в течение определенного количества времени. Предложенная система безопасности разработана исключительно для браслетов от Microsoft и Pebble. Описанное явление требует определенных навыков, но, все же, его можно проследить.

Конфиденциальность BLE (Bluetooth с низким энергопотреблением): следующим аспектом, касающимся обеспечения безопасности, считается функция конфиденциальности BLE, ставшая особенностью платформы Android. Это, неоднократно обновляющееся устройство для соединения, производится лабораторией MAC. Фактически, настоящий адрес никогда не сообщается, и поэтому, его трудно проследить.

Данная инновационная технология исключительно используется в Microsoft Band 2. Больше никто о ней не знает.

Возможность выявления: Выражаясь техническим языком, немного придумано способов соединения с браслетом. Пожалуй, одно из наиболее безопасных решений – специальное соединение (т. е. вашему браслету разрешено соединение исключительно с единственным известным смартфоном). Среди тестируемых моделей использование подобной технологии замечено в Microsoft Band 2 и Basis Peak.

Уникальной способностью соединения одновременно с несколькими устройствами обладает Pebble Time, но владелец должен подтвердить каждый запрос на подключение вручную, что, безусловно, вполне безопасно. Еще один способ используется в модель Xiaomi MiBand: после успешного соединения, он просто становится невидимым и не позволяет подключиться ни одному устройству дополнительно.

Рекомендуется к прочтению:  Xiaomi Mi Band&; полный обзор

И только браслеты Striiv, Runtastic и Mobile Action так и не смогли разработать достойной технологии, защищающей от подключения других неизвестных устройств.

Испытание подлинности: если, вдруг, неизвестный смартфон смог благополучно подключиться к браслету, то, некоторые фирмы помогут решить эту проблему при помощи аутентификации или проверки подлинности. Только три из семи тестируемых браслетов используют этот дополнительный барьер обеспечения безопасности: Basis Peak, Microsoft Band 2 и Pebble Time. Подобная технология также используется в моделях Xiaomi, но она настолько упрощена, что не составляет труда ее обойти. Это делает ее совершенно бесполезной. Оставшиеся три устройства либо совсем не имеют никакой дополнительной защиты, либо не могут ее правильно реализовать.

Защита от подделки: Этот пункт также представляет интерес для индивидуальных владельцев, равно как и для страховых компаний или судов, которые доверяют исключительно подлинной информации. Именно поэтому эксперты и тестировали, есть ли гарантия защиты доступа к персональным данным, хранившимся в памяти браслета.

Её необходимо разработать таким образом, чтобы предотвратить вмешательство третьих лиц, и устранить внесение видоизменений владельцем смартфона. Лишь изделия Basis, Microsoft, Pebble и Xiaomi разработали основную защиту этой отрасли. Однако, устройство Xiaomi с легкостью можно обмануть, так как защита чрезвычайно слаба. Хакеры могут заставить браслет вибрировать, изменить время сигнала или вовсе сбросить все личные настройки и вернуться к заводским.

Крайне уязвимыми считаются браслеты от Striiv и Mobile Action, которые не имеют ни какой действенной защиты (типа аутентификации). Более того, модели Striiv Fusion позволяют изменить основные параметры человеческого тела на значения супергероя. При помощи подобного трюка легко изменить данные о пройденном расстоянии и количестве сожженных калорий. Во время проверки на браслете Mobile Action оказалось возможным внести изменения в сохраненную информацию о весе, росте, длине шага. То же самое произошло и информацией о сожженных калориях и длине пройденной дистанции.

Приложение: параметры безопасности и результаты проверки кодирования

Локальная память: В случае, гарантированной безопасности браслета, установленное на вашем смартфоне приложение, может обладать очень слабой защитой.

Ввиду этого, проверка проводилось относительно того, может ли приложение сделать данные, доступными для других предложений на смартфоне. Отдельные Android устройства обладают особыми функциями, способными предотвратить опасность доступа к личной информации. Но, если информация сохранена в другой папке, она становится доступной всем. Xiaomi MiBand – чуть ли не единственный производитель, не исправивший этот недочет. Он хранит файлы системного журнала о деятельности приложения в абсолютно незащищенной зоне.

Здесь содержаться все сохраненные данные, а также информацию о пользователе, его псевдоним, основные параметры тела, и много другой информации, используемой для аутентификации.

Запутывание кода: Целью следующего теста является определение неточного программирования. Было проверено, используется ли в приложении технология запутывание кода.

Она может предотвратить перепрограммирование и помочь в сокрытии полезной для хакеров информации. Данная инновационная технология вполне успешно используется в приложениях Mobile Action, Pebble и Xiaomi. А Basis и Runtastic провалили испытание по этому пункту. Они совсем не применяют запутывание кода, что дает силу хакерам. Microsoft и Striiv также не применяют эту технологию. Подтверждением того, можно считать тот факт, что специалисты смогли беспрепятственно проникнуть во все приложения.polar-a360-2015-1500x1000-970x647-c

Журнал и данные об исправлении ошибок: Еще одной значимой ошибкой в программировании является вывод журнала информации об исправлении ошибок. Иногда там содержится масса необходимых данных, достаточных, чтобы при атаке привести все схемы безопасности в негодность. И лишь единственное приложение Mobile Action работает способно оказать им сопротивление. Все остальные приложения продолжают беспрепятственно предоставлять хакерам всю необходимую информацию.

Обеспечение безопасности при онлайн коммуникации

Последняя проверка была направлена на исследование всех соединений, установленных с помощью приложения. Возможно ли проверить их качество, или, они окажутся незашифрованной? И если так, то какая информация окажется доступной? Отличные новости: каждое соединение, нуждающиеся в шифровке – являются таковыми. Но перехваченные открытые соединения HTTP стали бесполезными, и, по всей вероятности, незашифрованными.

Кроме всего прочего, эксперты лаборатории исследовали вопрос, была ли доступна информация после установки корневого сертификата. Данное исследование оказалось очень важным, так как именно оно дает возможность самим владельцам управлять переданной информацией. Как показывает опыт исследователей, и в этой области вполне возможно обеспечить безопасность (как в продуктах Basis и Pebble).

Они имеют вполне достаточную степень защиты от нежелательного взлома. Для всех остальных устройств оказалось возможным проконтролировать безопасные соединения и частично, но вполне успешно в них вмешаться. Следствием чего стало возможным прочитать данные аутентификации и синхронизации.

Главный вывод экспертов: спорт, веселье и отсутствие системы безопасности.

Как уже было отмечено в анализе прошлогоднего исследования браслетов для занятия спортом, многие производители нашего времени до сих пор совершают подобные ошибки и в текущем году. Очень часто они не уделяют достаточного внимания решению проблем безопасности. Как показывает исследование степени риска, браслеты фирм Pebble Time, Basis Peak и Microsoft Band 2 считаются самыми защищенными. У них есть незначительные минусы, но в действительности, они предоставляют очень мало шансов хакерам. После этого теста производители пытаются исправить небольшие проблемы через систему обновлений.

Браслет для занятия фитнесом от Mobile Action также, не лишен множества обнаруженных факторов риска. Они убеждают владельцев в том, что их информация остается невидимой для других, но это не так, к сожалению. У них также есть минусы в области аутентификации и защиты от проникновения.

Тройка производителей Runtastic, Striiv и Xiaomi набрала значительное количество баллов по степени риска: 7-8 пунктов из десяти. Эти устройства легко проследить, ведь они используют непоследовательную, или совсем не используют защиту от вмешательства или аутентификацию; код приложений недостаточно запутан, а движением информации можно управлять и проверять при помощи корневого сертификата. Хуже всего, что Xiaomi хранит все данные на смартфоне в незашифрованном свободном доступе.

Вы можете прочитать больше фактов о всестороннем исследовании вопросов безопасности, разработанном экспертами лаборатории по тестированию браслетов для занятия спортом в предложенном файле PDF.

Проверка Устройства Apple Watch на Предмет Безопасности

Apple Watch в качестве браслета для занятия спортом

13

Apple Watch также может быть использован в качестве браслета для занятия спортом, совместно с iPhone. Насколько высока степень безопасности при обработке данных, и есть ли возможность восстановить утерянную информацию?

План проверки Apple Watch был разработан по принципу, подобному проверке Android. Однако iOS и Android настолько отличаются по нескольким критериям, что помешало произвести тестирование степени риска, тогда как остальные критерии не столь важны для Apple. Именно поэтому в категории наличия шпионских программ были исследованы способы контроля безопасности BLE и контроля соединения. В области онлайн коммуникаций было исследовано, насколько закодированы соединения и можно ли управлять результатами, используя корневые сертификаты.

Способность к обнаружению через Bluetooth можно проконтролировать и самостоятельно. Вследствие чего, становиться невозможным, постоянно следить за часами. Интересными показался и тест BLE. Предполагается, что в Apple Watch постоянно генерируется новый адрес MAC, при каждой активации Bluetooth. Выследить его в этом случае совершенно невозможно. Во время проверки функция срабатывала постоянно. Но при включенном и выключенном авиарежиме Apple Watch раз за разом показывает подлинный MAC адрес. На самом деле такого не должно происходить.

Возможность управлением соединения в часах Apple производится с помощью особенной технологии защиты от воровства: если к часам уже привязан аккаунт, то его очень трудно бывает отсоединить. Здесь не поможет даже тотальный сброс настроек. И если вор продаст «умные часы», новый владелец никогда не подключит их к своему iPhone.

Для организации безопасного соединения, Apple Watch уверенно пользуется зашифрованными соединениями, обладающими дополнительной защитой. Тем не менее, обновления могут загружаться через незашифрованный канал HTTP.

В соединениях, которые были просто зашифрованы, без дополнительной защиты, эксперты смогли обнаружить кое-какую информацию. Это были строки текста, содержащие географические данные о местонахождении владельца – вплоть до его адреса. Следующим шагом, как и в случае с устройством на платформе Android, был установлен корневой сертификат. Вследствие чего стало возможным установить контроль за многими соединениями. Таким способом и сам владелец смог получить больше возможности доступа к данным и теперь может ими управлять.

Apple Watch, в целом, занимает одно из высших место в составленном рейтинге умных устройств с точки зрения обеспечения защиты данных. Однако эксперты определили и теоретически слабые места, хотя, и время и приложенные экспертами усилия, для получения доступа к часам, оказались невероятно высоки.

Спасибо за лайки на сайте "фитнес - часы"!
Будьте счастливым, спортивным и активным человеком всегда! Напишите, что Вы думаете по этому поводу, какими гаджетами пользуетесь и почему?
bez-imeni-1

Добавить комментарий

Ваш e-mail не будет опубликован.

© 2017 Фитнес — браслеты: умные часы ·  ПРАВА НА КОПИРАЙТ. ИСПОЛЬЗОВАНИЕ МАТЕРИАЛОВ САЙТА РАЗРЕШЕНО ТОЛЬКО С АКТИВНОЙ ССЫЛКОЙ НА САЙТ fitneschasy.ru