Recursos/White Papers

Tecnologia

Rastreadores de condicionamento físico podem ser um risco para as empresas

Se mal gerenciados, dispositivos dedicados e rastreadores embutidos nos relógios inteligentes podem expor redes corporativas

James A. Martin *

Publicada em 12 de julho de 2018 às 07h26

Qual é exatamente o risco de segurança dos rastreadores de atividade física para a TI corporativa? A respostas é "mais do que você imagina". Os hackers têm como alvo dispositivos dedicados e relógios inteligentes com rastreadores de condicionamento físico embutidos porque, com frequência, são mal protegidos e podem expor senhas, revelar hábitos de trabalho de funcionários de alto escalão ou servir como pontos de entrada para outros sistemas.

O Instituto AV-TEST, sediado na Alemanha, testou recentemente 12 rastreadores fitness e o Apple Watch Series 3 para ver o quão seguros eles eram ou não. Oito dos 13 dispositivos receberam a classificação mais alta possível (três estrelas). No entanto, o AV-TEST avaliou os dispositivos para segurança pessoal, não o seu risco corporativo.

Como todos os outros dispositivos que se conectam à Internet, os dispositivos fitness podem não ser 100% seguros, 100% do tempo. O incidente com a Strava, no início deste ano, ilustra como os rastreadores de atividades físicas geram e compartilham dados que potencialmente poderiam ser usados ​​para fins nefastos.

Aqui estão cinco coisas que a TI corporativa deve conhecer sobre rastreadores de atividades e os riscos de segurança.

1. Rastreadores de fitness estão ficando mais seguros, mas alguns ainda são arriscados
"Em comparação com os testes anteriores realizados pela AV-TEST, os fabricantes levaram a segurança dos dados de fitness e a proteção de dados de seus clientes significativamente mais a sério, o que parece fazer sentido diante dos escândalos atuais", diz o relatório de pesquisadores da AV-TEST sobre os testes de segurança mais recentes, publicados em maio de 2018. Em 2016 , o mesmo relatório alertava para o fato de os fabricantes de rastreadores de condicionamento físico “frequentemente não prestarem atenção suficiente ao aspecto da segurança”.

Para o estudo 2018, cada rastreador foi testado quanto à segurança de suas comunicações externas, comunicações locais, aplicativos conectados e proteção de dados. Com base nos resultados de cada teste, os dispositivos receberam uma pontuação geral de uma, duas ou três estrelas. 

O Apple Watch Series 3 ganhou três estrelas, com boas notas em cada uma das quatro áreas de teste. A Fitbit recebeu uma pontuação similar da AV-TEST. Seis outros fabricantes de dispositivos, incluindo Huawei e Garmin, ganharam três estrelas também.

Já o rastreador HW01, da Lenovo, recebeu apenas uma estrela do AV-Test; dispositivos de Xiaomi, Polar e Moov ganharam duas estrelas.

fitness

2. Metadados do rastreador de destino dos hackers
Os hackers não estão interessados ​​em quantos passos você dá ou qual é a frequência cardíaca média em repouso. Eles podem estar interessados ​​na imagem maior que os metadados de um rastreador podem pintar de suas atividades, especialmente se você é alguém que eles querem segmentar, observa Ramon T. Llamas, diretor de pesquisa do IDC focado em dispositivos móveis e Realidades Virtual e Aumentada. "Triangular quanto tempo você se exercita e que distâncias você normalmente percorre, a que horas do dia,  pode revelar a um hacker quando você está ou não está no trabalho, e isso pode torná-lo um alvo ideal" - um ponto que o incidente recente com a Strava ilustra bem.

A mídia noticiou em janeiro de 2018 que soldados dos EUA que emparelhavam seus rastreadores de atividade física com a rede fitness Strava estavam revelando inconscientemente suas coordenadas de GPS através do mapa de calor global da Strava - que é facilmente acessível para qualquer pessoa com uma conexão à internet. O Pentágono não achou graça. O CEO da Strava, James Quaries, respondeu que a empresa estava "trabalhando com militares e funcionários do governo para tratar dados potencialmente sensíveis", entre outras medidas corretivas.

3. Sua prioridade de baixa segurança pode ser uma alta prioridade para hackers
“Os rastreadores de atividade física estão lá no pé da lista de preocupações de segurança das empreas, especialmente se comparados a riscos como violação de banco de dados”, diz Merritt Maxim, analista da Forrester. “Mas, embora os rastreadores possam não ser prioridade das equipes de segurança, o inverso pode ser verdadeiro para hackers. Eles às vezes se concentram em coisas que a TI corporativa não está muito preocupada, porque estão procurando alvos fáceis. ”

Por exemplo, há alguns anos, os call centers corporativos não eram especialmente uma preocupação de segurança máxima, observa Maxim. Os criminosos começaram então a usar telefonemas de baixa tecnologia, bem como engenharia social e outras táticas, para obter informações pessoais sobre os clientes de uma empresa de seus operadores de call center, especialmente aqueles de fora dos EUA . Como resultado, os call centers se tornaram uma prioridade maior para a segurança corporativa, diz ele.

4. Um smartwatch roubado por um hacker deve ser uma preocupação
Rastreadores de fitness dedicados estão perdendo terreno para smartwatches mais robustos e capazes. Durante o primeiro trimestre de 2018, as vendas de smartwatch da Apple, Fitbit e outras cresceram 28,4 por cento, enquanto as vendas de wearables básicos declinaram 9,2 por cento, segundo dados globais da IDC.

Enquanto os smartwatches anteriores eram limitados principalmente à conectividade via Bluetooth, muitos dos modelos atuais se conectam via WiFi a aplicativos de smartphones. A conectividade WiFi oferece aos hackers maior flexibilidade para acessar, digamos, o e-mail de um usuário, através do smartwatch. Com o WiFi ou a conexão celular de um smartwatch, o ladrão não precisa mais estar dentro do alcance da vítima para obter uma conexão online e assim ter acesso à informação, diz Chet Wisniewski, principal pesquisador da Sophos.

Para a maioria das pessoas, no entanto, esse cenário de capa e espada é improvável. “Mas se você tem funcionários de alto escalão com acesso a informações confidenciais, você deve conscientizá-los de que o smartwatch deles, se perdido ou roubado, poderia dar a um hacker acesso a essa informação também”, diz Wisniewski. "Se eles perderem o relógio, eles devem avisar imediatamente", acrescenta, para que a TI ou o usuário possam desativar o relógio remotamente. Por exemplo, a Apple oferece um recurso de bloqueio de ativação  ativo por padrão em seu Apple Watch habilitado para WiFi.

Além disso, para prevenir casos de smartwatches com WiFi perdidos ou roubados, lembre que eles devem integrar o sistema de gerenciamento de dispositivo móvel (MDM) da sua organização. O MDM vai garantir transmissões seguras de dados entre o smartwatch e a empresa, semelhante ao que eles já usam para smartphones e tablets ”, diz Llamas. “É claro que o MDM deve ser mantido atualizado também para esses dispositivos”.

fitness

5. Os riscos são os mesmos que as empresas já correm com os smartphones
Mesmo que os usuários não usem smartwatches, as chances de que eles carreguem smartphones com eles por quase toda parte são altas, acrescenta Wisniewski. Os smartphones monitoram constantemente a localização e compartilham esses dados com as principais operadoras de telefonia móvel, bem como com fabricantes de dispositivos e empresas de software. Em junho de 2018, descobriu-se que as operadoras de telefonia móvel dos Estados Unidos estavam compartilhando dados de localização de clientes com terceiros.

"Já estamos pagando voluntariamente US $ 1.000 ou mais para transportar um rastreador - nosso smartphone - que fornece informações de localização a todos os tipos de empresas", diz Wisniewski. "Se você pensar sobre isso, um smartwatch não está introduzindo qualquer risco adicional."

Em última análise, a tarefa da TI corporativa é educar os usuários sobre os possíveis riscos e identificar etapas e procedimentos claros que devem ser adotados para mitigar esses riscos, diz Wisniewski. Identifique os usuários que correm maior risco de serem alvos de hackers e ajude-os a encontrar maneiras de ficar mais atentos à segurança.

Você poderia dizer aos usuários da sua organização para não usar rdispositivos fitness, é claro, mas boa sorte com isso. "Você não pode dizer às pessoas o que elas podem ou não podem usar", especialmente se, como um smartwatch, o dispositivo é frequentemente usado por motivos pessoais, diz Wisniewski. "Apenas aceite que não há muito que você possa fazer sobre isso, a não ser prevenir que brechas de segurança sejam exploradas."



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui