Video Screencast Help
Symantec Appoints Michael A. Brown CEO. Learn more.
Security Community Blog

O quanto seguro é o seu quantified self? Tecnologia de rastreamento, monitoramento e computação vestível

Created: 30 Jul 2014 • Updated: 15 Sep 2014 • Translations available: English, 简体中文, 日本語, 한국어, Español
Symantec Security Response's picture
0 0 Votes
Login to vote

qs-header-image2_650px.png

A cada dia, milhões de pessoas no mundo todo registram ativamente todos os aspectos de suas vidas, pensamentos, experiências e conquistas em uma atividade conhecida como automonitoramento (ou Quantified Self ou Registro da Vida – life logging). As pessoas se envolvem com esse tema por diversas razões e, considerando-se a quantidade de dados pessoais gerados, transmitidos e armazenados em diversos lugares, a privacidade e a segurança são considerações importantes para os usuários desses aparelhos e aplicativos.

A Symantec encontrou riscos à segurança em um grande número de dispositivos e aplicativos de automonitoramento. Um dos achados mais importantes foi de que todos os aparelhos vestíveis de rastreamento de atividades examinados, incluindo os de marcas líderes, estão vulneráveis ao rastreamento de localização.

Nossos pesquisadores construíram uma série de scanners portáteis usando microcomputadores Raspberry Pi e, ao levá-los a eventos esportivos ou espaços públicos movimentados, descobriram que era possível rastrear indivíduos.

Além disso, a Symantec também encontrou vulnerabilidades na forma como os dados pessoais são armazenados e gerenciados, tais como senhas transmitidas em textos em aberto e gerenciamentos de sessão fracos.

 

Como funcionam os sistemas de automonitoramento?

Muitas pessoas engajadas em automonitoramento o fazem com dispositivos como pulseiras eletrônicas, smart watches, pingentes, até mesmo roupas inteligentes. Eles geralmente contêm uma série de sensores, um processador, memória, e uma interface de comunicação. Estes aparatos permitem ao usuário coletar, armazenar e transmitir os dados, sem esforço, a outro computador, para processamento e análise.

tracking_movement_animated_gif_fin.gif

Figura 1.O que existe em um dispositivo típico de Quantified Self (legenda da imagem: Anatomia de um Dispositivo Wearable de Rastreamento)

Apesar da crescente utilização de aparelhos projetados especificamente, os smartphones talvez sejam a forma mais comum dos indivíduos fazerem o automonitoramento. Eles estão repletos de sensores distintos, que podem ser usados por muitos aplicativos diferentes. Muitas pessoas já carregam esses aparelhos com elas, e a proliferação de aplicativos (apps) gratuitos para acompanhamento pessoal facilita ainda mais para os usuários começarem a se acompanhar.

smartphone-sensor-animated-gif.gif

Figura 2. Smartphones modernos estão repletos de sensores. (Legenda da foto: Sensores de Smartphone do Quantified Self)

Para iniciar o automonitoramento, os usuários simplesmente escolhem, a partir de uma ampla variedade de aplicativos nos inúmeros mercados de apps, instalam um deles, criam uma conta e dão início a todo o processo. Ao final de cada sessão, a pessoa pode avaliar e sincronizar os dados coletados para armazenamento em um servidor baseado na nuvem.

 

Então qual é a segurança do Quantified Self?

Quando entregamos nossos dados pessoais do Quantified Self para esses provedores de serviços erramos em confiar neles? Como saber se estão tomando as medidas necessárias para proteger nossas informações e nossa privacidade? Para ajudar a entender isso, analisamos o que está acontecendo atualmente no mundo do automonitoramento. Examinamos o que os fornecedores estão fazendo para proteger os usuários de seus serviços e analisamos de perto alguns dos mais populares dispositivos e aplicativos do Quantified Self no mercado.

Monitoramento de localização em dispositivo de computação vestível

Todos os dispositivos vestíveis de monitoramento de atividades podem ser rastreados ou localizados por meio de transmissões de protocolo sem fio.

Há muitos dispositivos de vestir para monitoramento de atividades esportivas disponíveis atualmente no mercado. Eles geralmente consistem em sensores para detectar o movimento, mas a maioria não foi feita para rastrear a localização. Os dados coletados por estes aparatos geralmente precisam ser sincronizados com outro aparelho ou computador para serem visualizados. Por conveniência, muitos fabricantes utilizam Bluetooth de Baixa Energia para permitir que o dispositivo sincronize os dados com um smartphone ou computador sem o uso de cabos. No entanto, essa conveniência tem um preço; o aparelho pode entregar informações que permitem o seu rastreamento de um lugar ao outro.  

Para testar como estes dispositivos poderiam ser rastreados, construímos aparelhos de rastreamento de Bluetooth simples, utilizando minicomputadores Raspberry Pi e componentes comprados de varejistas comuns. Estes foram combinados a software de código aberto e um pouco de scripting customizado. Cada um deles custou, no máximo, US$75 e poderia ser facilmente montado por qualquer pessoa com habilidades básicas de TI.

meet_blackberry_pi.gif

Figura 3. Nosso próprio scanner portátil de Bluetooth, chamado de Blueberry Pi (Legenda: Conheçam o Blueberry Pi)

Esses scanners foram, então, levados a vários locais públicos movimentados na Irlanda e na Suíça. Também foram levados a grandes eventos esportivos. Os scanners rodaram de forma passiva e não tentaram estabelecer conexão com qualquer dos aparelhos que descobrimos. Eles simplesmente escanearam as ondas aéreas em busca de sinais transmitidos a partir dos dispositivos.

Em nossos testes, descobrimos que todos os aparelhos que encontramos podem ser facilmente rastreados através do endereço único de hardware que transmitem. Alguns (dependendo da configuração) podem até permitir pesquisa remota, por meio da qual as informações como número de série ou uma combinação de características podem ser descobertas por terceiros que estejam a pouca distância, sem estabelecer nenhum contato físico com o dispositivo e com a pessoa.

wear-activity-tracking-device.gif

Figura 4. A maioria dos dispositivos de rastreamento de atividades de vestir é rastreável (Legenda: Usa uma pulseira de rastreamento de atividades?)

A partir dos resultados desta pesquisa, aparentemente os fabricantes destes aparatos (incluindo líderes de mercado mundial) não consideraram seriamente, nem abordaram as implicações à privacidade que os seus produtos de computação vestível trazem. Como resultado, os aparelhos, e, por associação, quem os veste, podem ser facilmente rastreados por qualquer pessoa com algumas habilidades básicas e algumas poucas ferramentas baratas.

Por que se preocupar com isso?

É possível que ladrões ou perseguidores utilizem informações de rastreamento de localização com intenções maliciosas.  Sabidamente, há golpistas que utilizam sistemas de rastreamento de localização para saber quando uma vítima em potencial está fora de casa.

Transmissão de dados pessoais e de monitoramento em texto aberto

20% dos aplicativos transmitiam as credenciais do usuário em texto claro.

Muitos dos aplicativos e serviços de eu quantificado dispõem de um componente de servidor baseado na nuvem, onde os usuários devem carregar e armazenar os dados coletados por seus apps e serviços para guardar e analisar. Além de simplesmente armazenar dados sobre as atividades, alguns serviços também coletam uma série de informações pessoais, como data de nascimento, estado civil, endereços, fotos e outras estatísticas pessoais. Para evitar o acesso não autorizado aos dados, estes serviços exigem contas protegidas por credenciais de login e senha.

O problema que observamos é que uma proporção inaceitavelmente ampla destes aplicativos e serviços não trata os dados sensíveis dos usuários, como logins (por exemplo, endereços de e-mail) e senhas, de forma segura. Muitos deles transmitem dados gerados, inclusive credenciais de entrada, através de um meio inseguro como a Internet sem sequer tentar protegê-los (ou seja, através de criptografia). Isso significa que os dados poderiam ser facilmente interceptados e lidos por um atacante. A ausência de segurança básica neste nível é uma omissão séria e levanta questões sobre como estes serviços lidam com as informações armazenadas em seus servidores.

Por que se preocupar com isso?

A transmissão de credenciais em texto claro é especialmente perturbadora se considerarmos que um grande número de pessoas tem a propensão de reutilizar credenciais de login em diversos sites. Devido ao reuso, os detalhes de login roubados de um aparelho poderiam, potencialmente, ser utilizados para ganhar acesso a serviços mais sensíveis como contas de e-mail ou contas em lojas online.

Ausência de políticas de privacidade

52% dos aplicativos examinados não dispunham de políticas de privacidade.

Aplicativos e serviços de automonitoramento são, por natureza, projetados para coletar e analisar informações pessoais. Assim, é razoável que se espere (e, de fato, essa é uma exigência legal em muitas jurisdições - vide a lei de proteção da privacidade online Online Privacy Protection Act 2003, de 2003) que as empresas que coletam e gerenciam PII (Informações Pessoais Identificáveis, na sigla em inglês) disponibilizem uma política de privacidade exibida com destaque e de fácil acesso. As políticas de privacidade devem, preferivelmente, ser compreensíveis até para quem não trabalha na área jurídica, e mostradas aos usuários antes que se inscrevam em um serviço, para que possam fazer uma escolha consciente antes de utilizá-lo.

Apesar da importância de possuir uma política de privacidade, a maioria dos aplicativos que examinamos não dispunha de uma.

Por que se preocupar com isso?

A ausência de uma política de privacidade pode ser um indicador acerca de como a questão da segurança é tratada no desenvolvimento e fornecimento de serviços online de automonitoramento. É recomendável que os usuários levem isso em consideração antes de se inscrever em qualquer serviço.

Vazamento não-intencional de dados

O número máximo de domínios únicos contatados por um único aplicativo foi 14, e a média, cinco.

Em média, observamos que os aplicativos contataram cinco domínios de Internet diferentes.  No pior caso, encontramos um app que contatou 14 domínios diferentes em um período curto de execução. É compreensível que os aplicativos precisem contatar um número baixo de domínios para transmitir os dados coletados e acessar certos APIs, como para publicidade, mas pode ser uma surpresa saber que um número significativo de aplicativos contatou dez ou mais domínios diferentes, por diversos motivos. Muitos dos aplicativos enviam relatórios a serviços analíticos, e estes serviços reúnem e analisam o comportamento do aplicativo ou dos usuários para fins de marketing. Alguns aplicativos usam análise de apps para examinar o desempenho do aplicativo em si, relatando questões de desempenho e falhas.

Apesar das boas intenções dos desenvolvedores de aplicativos, informações sobre as atividades dos usuários ainda podem ser reveladas das formas mais improváveis graças ao modo como o app utiliza serviços de terceiros. Por exemplo, um dos aplicativos monitora a atividade sexual, o aplicativo faz solicitações específicas a uma URL de serviço analítico no início e fim de cada sessão. Nessa comunicação, o aplicativo passa uma ID única para a circunstância do app e o nome do app em si, além de mensagens que indicam o início e final da atividade monitorada.

Além do cenário mencionado anteriormente, também há inúmeras outras possibilidades onde dados pessoais podem vazar de forma não intencional, como por exemplo, erro humano ou engenharia social ou até mesmo o manuseio displicente dos dados.

Por que se preocupar com isso?

Ainda que muitos de nós gostemos de compartilhar detalhes de nossa vida com amigos e parentes, há muitas coisas que não necessariamente queremos compartilhar. Quando optamos por não compartilhar algo, certamente não queremos que nosso provedor de serviço faça isso direta ou indiretamente em nosso lugar.

Outros pontos fracos de segurança

Em qualquer serviço compartilhado, contas são utilizadas para separar o status e os dados de cada um dos usuário. As sessões são utilizadas para gerenciar o fluxo de dados e processamento para que as pessoas possam acessar somente seus próprios dados e desempenhar tarefas com as informações que têm permissão para acessar. Um gerenciamento de sessão fraco pode ser explorado por cibercriminosos para sequestrá-las, o que permite que eles se passem por outras pessoas. Isso pode levar a vazamento de informações, vandalismo de dados, entre outros problemas.

Em nossa pesquisa, encontramos alguns sites que não lidavam corretamente com as sessões de usuários. Em um exemplo, era possível navegar nos dados pessoais de outras pessoas. Em outra ocasião, seria possível um atacante fazer upload de instruções de SQL, como comandos para criar tabelas no banco de dados, para serem executados pelo servidor. Estas são falhas graves de segurança que poderiam acarretar em uma grande violação da base de dados de usuários.

Por que se preocupar com isso?

Sistemas mal projetados ou mal implementados podem expor vulnerabilidades sérias para atacantes explorarem. Isso pode levar a um comprometimento total dos dados de usuários na ponta do provedor de serviços. Dependendo da sensibilidade dos dados administrados, as implicações podem ir de algo tão banal como quantos copos de água tomou hoje, como algo mais sério, como sua localização atual.

O que podemos fazer a respeito?

À primeira vista, o automonitoramento e a privacidade podem parecer parceiros estranhos. Como seria possível registrar muitos dados sobre você e ainda manter a privacidade? Considerando as questões que encontramos, a conclusão óbvia é que, se você dá valor a sua privacidade, o melhor é não fazer automonitoramento nenhum!

Apesar dos riscos em potencial à segurança e privacidade, o movimento do Quantified Self está evoluindo rapidamente e deve continuar crescendo por alguns anos. Para garantir que os usuários continuem fazendo isso em segurança, recomendamos que tomem algumas precauções básicas para ajudar a se proteger contra o risco de expor suas informações pessoais e de automonitoramento.

  • Use um bloqueio de tela ou senha para evitar o acesso não-autorizado a seu aparelho
  • Não reutilize o mesmo nome de usuário e a mesma senha em sites diferentes
  • Use senhas fortes
  • Desative o Bluetooth quando não for necessário
  • Tome cuidado com sites e serviços que solicitam informações desnecessárias ou excessivas
  • Cuidado ao utilizar recursos de compartilhamento social
  • Evite compartilhar detalhes de localização em redes sociais
  • Evite aplicativos e serviços que não exibem com destaque uma política de privacidade
  • Leia e compreenda a política de privacidade de aplicativos e serviços
  • Instale as atualizações de apps e sistema operacional quando estiverem disponíveis
  • Utilize uma solução de segurança no aparelho
  • Utilize criptografia completa do aparelho, caso disponível

Mais informações

Para aqueles que desejarem mais detalhes sobre este assunto, podem ler nosso mais recente estudo, chamado:  O quanto seguro está o seu quantified self? (How safe is your quantified self?)

download_paper_banner_0.png

Palavras-Chave

#quantifiedself

(atividade OU saúde OU boa forma OU exercício OU bem-estar OU treino OU sono OU peso Ou dieta OU humor OU eu) E (dados OU rastrear OU monitorar)

Dados sociais

Biométrica

Smart watch

Smartwatch

Aparelho de monitoramento

Esportes E monitorar

Wearable (vestível / de vestir)

Wearable (dispositivo OU tecnologia OU aplicativo)

Quantificado E (bebê OU funcionário)

Análise de talentos (Talent Analytics)

Internet das Coisas

IoT

Android Wear