Os smartwatches, dispositivos de monitorização desportiva e outros tipos de wearables, estão a tornar-se quase tão familiares quanto os nossos smartphones e tablets. Estes gadgets conetados fazem muito mais do que mostrar as horas. Eles monitorizam a nossa saúde, permitem-nos verificar o nosso email, controlar as nossas casas inteligentes e podem até mesmo ser usados para realizar pagamento em lojas. Eles são uma extensão dos dispositivos conhecidos como Internet das Coisas (IoT) que tentam tornar as nossas vidas mais saudáveis e cómodas, reduzindo o tempo de visualização do ecrã nos nossos smartphones, cuja média por dia em países como os Estados Unidos foi calculada em quase seis horas este ano.
Como seria de esperar, é um mercado que deverá obter um crescimento anual de 12,5% durante os próximos anos, para superar os 118 mil milhões de dólares em 2028. No entanto, embora os wearables se estejam a tornar mais do que nunca parte do nosso dia-a-dia, estes dispositivos também estão a recolher cada vez mais dados e ligando-se a um número cada vez maior de outros sistemas inteligentes. Portanto, vale a pena perceber os riscos de segurança e privacidade que podemos encontrar em torno desta tecnologia.
Quais são as principais preocupações em relação à segurança e privacidade?
Os cibercriminosos contam com diversas formas de monetizar os ataques aos wearables inteligentes e ao ecossistema de aplicações e software relacionados. Eles podem intercetar e manipular dados e passwords, e desbloquear dispositivos perdidos ou roubados. Há também preocupações potenciais sobre a privacidade em relação à partilha de dados pessoais com terceiros. Aqui fica um resumo rápido:
Roubo e manipulação de dados
Alguns dos smartwatches com mais funcionalidades fornecem acesso sincronizado às aplicações do seu smartphone, tais como e-mail e aplicações de mensagens. Isto pode fazer com que utilizadores não autorizados tentem intercetar os dados pessoais e sensíveis dos utilizadores. Outro aspeto também preocupante é onde grande parte destes dados são armazenados. Caso não esteja devidamente protegido, o fornecedor de serviço pode ser alvo de atacantes que tentam roubar informações. Existe um mercado clandestino bastante ativo para certos tipos de dados pessoais e financeiros.
Ameaças baseadas na localização
Outro tipo de dados importantes registados pela maioria dos wearables está relacionado com a localização. Com estas informações, os cibercriminosos podem construir um perfil preciso de seus movimentos ao longo do dia. Isto pode fazer com que os criminosos consigam atacar o utilizador fisicamente, ou o seu carro ou casa se, por exemplo, eles tiverem informações de que estão vazios.
Há preocupações ainda maiores com a segurança das crianças que usam tais dispositivos, caso elas estejam a ser monitorizadas por terceiros não autorizados.
Empresas externas
Não é apenas aos riscos de segurança que os utilizadores precisam estar atentos. Os dados que os dispositivos recolhem podem ser extremamente valiosos para os anunciantes – há uma procura significativa por tais dados em certos mercados. Um relatório destacou que a receita dos dados vendidos por fabricantes de dispositivos de saúde às companhias de seguros pode chegar a 855 milhões de dólares até 2023.
Algumas dessas empresas podem até usar os dados para criar perfis publicitários dos utilizadores e vendê-los. Se esses dados forem armazenados por várias outras empresas, o risco de uma possível violação de dados pode ser muito alto.
Desbloqueio de uma casa inteligente
Certos wearables podem ser usados para controlar dispositivos de IoT numa casa inteligente. Eles podem até mesmo ser configurados para destrancar a sua porta principal. Isto apresenta um risco de segurança significativo em casos como a perda ou roubo dos dispositivos e se as configurações antirroubo não estiverem ativadas.
Qual é o ponto fraco do ecossistema wearable?
O dispositivo que você usa é apenas uma parte do panorama geral. Na realidade, há diversos elementos que fazem parte do dispositivo que são suscetíveis a ataques se a segurança e a privacidade não foram devidamente consideradas pelo fabricante, desde o firmware do dispositivo até aos protocolos para conetividade, aplicações e servidores backend na nuvem. Aqui estão alguns exemplos:
Bluetooth: Bluetooth Low Energy é normalmente usado para emparelhar dispositivos portáteis com o smartphone. Mas ao longo dos anos foram descobertas inúmeras vulnerabilidades no protocolo que podem fazer com que atacantes próximos bloqueiem dispositivos, espiem ou manipulem dados.
Dispositivos: normalmente, o software no próprio dispositivo é vulnerável a ataques externos devido a falhas durante o seu desenvolvimento. Mesmo o mais bem projetado smartwatch é construído por humanos e pode, portanto, conter erros no código. Isto também pode levar a violações comprometedoras de privacidade, perda de dados e muito mais.
A fraca autenticação/encriptação no wearables pode resultar na sua exposição a roubos e escutas não autorizadas. Além disso, os utilizadores também devem estar cientes de que quem espreita por cima do ombro pode ver mensagens/dados sensíveis nos seus dispositivos em locais públicos.
Aplicações: as aplicações para smartphones instaladas em wearables são outra via de ataque. Mais uma vez, elas podem estar mal programadas e repletas de vulnerabilidades que expõem os dados e dispositivos dos utilizadores. Outro risco é que as aplicações, ou mesmo os próprios utilizadores, possam ser descuidados com os dados. Também pode acontecer que o utilizador descarregue acidentalmente aplicações falsas concebidas para parecerem legítimas e que os atacantes roubem informações pessoais que foram anteriormente inseridas nelas.
Servidores backend: como mencionado, os fornecedores de sistemas baseados na nuvem podem armazenar informações de dispositivos, incluindo dados de localização e outros detalhes. Isto representa um alvo bastante atrativo para os atacantes. Não há muito que possa fazer sobre isso, além de escolher um fornecedor com um bom histórico de segurança.
Infelizmente, muitos dos cenários descritos neste artigo são mais do que teóricos. Há alguns anos, investigadores encontraram diversas vulnerabilidades em relógios inteligentes para crianças que expunham localização e dados pessoais. Antes disso, investigações constataram que muitos fabricantes estavam a enviar dados pessoais não encriptados de crianças que usavam smartwatches para servidores na China.
As preocupações em relação aos wearables persistem até hoje, com estudos que mostram dispositivos suscetíveis a manipulação que podem até provocar consequências físicas no utilizador. Outro estudo alegou que os cibercriminosos poderiam mudar as passwords, fazer chamadas, enviar mensagens de texto e aceder a câmaras a partir de dispositivos concebidos para monitorizar idosos e crianças.
Dicas para proteger os seus dispositivos
Felizmente, há várias coisas que é possível fazer para minimizar os riscos descritos acima. Entre eles:
- Ative a autenticação de dois fatores;
- Proteja o ecrã de bloqueio com password;
- Altere as configurações para evitar qualquer emparelhamento não autorizado;
- Use apenas lojas legítimas de aplicações;
- Mantenha todo o software atualizado;
- Nunca faça jailbreaking/rooting dos seus dispositivos;
- Limite as permissões das aplicações;
- Instale um software AV de boa reputação no dispositivo.
Proteja a sua casa inteligente:
- Evite sincronizar dispositivos portáteis com a porta principal da sua casa;
- Mantenha os dispositivos na rede Wi-Fi do convidado;
- Atualize todos os dispositivos para o firmware mais recente;
- Altere todas as passwords predefinidas que vêm com os dispositivos.
No geral:
- Prefira fornecedores de wearables com boa reputação;
- Verifique cuidadosamente as configurações de privacidade e segurança para garantir que estão configuradas corretamente.
À medida que os dispositivos portáteis se tornarem uma parte cada vez mais importante das nossas vidas, eles vão tornar-se um alvo mais importante para os atacantes. Faça uma pesquisa cuidadosa antes de comprar e feche o maior número possível de vias de ataque a partir do momento em que o dispositivo seja inicializado.