Elektroniczne opaski na rękę, inteligentne zegarki czy nawet odzież wyposażona w specjalne chipy pozwalające na zbieranie, przechowywanie i transmitowanie do komputera danych śledzących postępy np. w treningu biegowym, stają się coraz popularniejsze wśród osób aktywnie spędzających czas. Jeszcze więcej użytkowników korzysta w tym celu ze smartfonów wyposażonych w dedykowane aplikacje. Dzięki pozyskanym danym możliwa jest analiza treningu, która pozwala poprawić jego efektywność.
Problem w tym, że informacje zbierane przez wspomniane urządzenia mogą zostać w bardzo łatwy sposób przejęte przez hakerów. Eksperci z zajmującej się bezpieczeństwem komputerowym firmy Symantec przeprowadzili w tym celu eksperyment. Za równowartość 75 dol. skonstruowali specjalne urządzenie bazujące na minikomputerze Raspberry Pi wyposażonym w nadajnik Bluetooth 4.0, akumulator i kartę SD.
Jak informuje BBC, Mario Barcena, Candid Wueest i Hon Lau z Symanteca przetestowali następnie przenośne skanery w różnych zatłoczonych miejscach publicznych (w tym na imprezach sportowych) w Szwajcarii i Irlandii, by sprawdzić, jakie dane uda im się przechwycić. Według samych badaczy, wszystkie napotkane przez nich urządzenia mogą z łatwością zostać namierzone za pomocą unikalnego adresu danego sprzętu. Co więcej, część z nich była również podatna na zdalną możliwość ujawnienia innych informacji umożliwiających identyfikację.
Zdaniem badaczy, ich pozyskanie przez osobę dysponującą odrobiną wiedzy z zakresu komputerów i elektroniki byłoby „trywialne". O tym, czym może grozić przechwycenie takich danych, najlepiej świadczy przypadek włamywaczy z Overland Park w amerykańskim stanie Kansas, którzy wykorzystali technologię umożliwiającą lokalizację danej osoby za pośrednictwem sygnału GPS, by upewnić się, że potencjalnej właścicielki nie ma w domu.
Co więcej, badacze z Symanteca przyjrzeli się również aplikacjom powiązanym z niektórymi urządzeniami monitorującymi aktywność fizyczną lub używających smartfonów w celu gromadzenia danych. Około 20 proc. z przebadanych aplikacji nie podejmowało żadnych działań, by zaszyfrować przesyłane dane, nawet pomimo tego, że zawierały tak wrażliwe informacje, jak imię użytkownika, jego hasło czy datę urodzenia.
