Seu relógio pode te espionar

SmartWatch

por Ricardo Esper

Ricardo Esper é um experiente profissional com 40 anos em tecnologia e segurança cibernética, fundador da NESS e atuante na Ionic Health como CISO. Especialista em gestão de crises, compliance e investigação na Trustness e forense.io, contribui para várias entidades, incluindo HackerOne e OWASP, promovendo práticas seguras em tecnologia.

Seu relógio pode te espionar

O mais novo objeto de desejo dos consumidores [e o smartwatch. Atual parceiro do seu celular (já com data de divorcio anunciada, falamos em outro post) é um incrível espião da vida alheia. Um smartwatch pode ser usado para espionar seu dono? Sim e sabemos várias formas de fazer isso. Um deles é um app de espionagem instalado em um smartphone capaz de enviar dados para sensores de movimento embutidos no smartwatch (acelerômetro e giroscópio) para um servidor remoto. Essas informações, por sua vez, podem ser usadas para rastrear os movimentos do usuário. Qual é a extensão dessa ameaça e quais dados podem de fato ser roubados? Decidimos investigar.

Experimento: os movimentos do smartwatch podem revelar sua senha?

Começamos com um smartwatch Android, programamos um aplicativo no-frills com objetivo de processar e transmitir dados do acelerômetro, bem como analisar o que pode ser feito com eles. Para mais detalhes, veja o relatório completo. Eles podem ser utilizados para descobrir se o usuário, em um determinado momento, está sentado ou andando. Além disso, é possível analisar mais profundamente e descobrir se a pessoa está em uma caminhada casual ou trocou de linha no metrô – já que os padrões de aceleração diferem sutilmente. É assim também, que o fitness tracker difere caminhar a pé e andar de bicicleta. É fácil perceber quando a pessoa está digitando. Entretanto, descobrir o que ela escreveu é bem mais complexo. Todo mundo tem um padrão de digitação distinto: o método dos dez dedos, teclar com um ou dois dedos, ou ainda um misto entre os dois.  Em suma, pessoas diferentes podem seguir a mesma técnica e produzirão registros distintos no acelerômetro. Todavia, um indivíduo que tenta digitar a mesma senha diversas vezes produzirá resultados bastante similares. Portanto, com uma rede neural treinada para reconhecer as particularidades do digitar de alguém, é possível descobrir o que aquela pessoa escreveu. Bem como, se ela for treinada em um método de digitação específico, os dados do acelerômetro do smartwatch em seu pulso poderiam ser traduzidos em senhas com base nos movimentos das mãos. Entretanto, o processo de treinamento demandaria que a rede neural monitorasse o indivíduo por bastante tempo. Os processadores em dispositivos portáteis não são poderosos o suficiente para executá-las, o que torna necessário enviar os dados para outros servidores. É nesse ponto que o espião encontra problemas: o upload constante das leituras do acelerômetro consumiria muita franquia de internet e bateria do smartwatch, esgotando-a em horas (seis no caso que testamos). Esses dois sinais são fáceis de serem percebidos e acabam alertando o usuário de que algo não está certo.  Entretanto, ambos os problemas são minimizados por meio da seleção dos dados -por exemplo, transferir apenas os horários de chegada ao trabalho, um momento mais provável no qual a senha será digitada. Em suma, seu smartwatch pode ser usado para identificar o que você digita. Porém, é difícil e a recuperação precisa depende da repetição sucessiva do texto. Em nossos testes, fomos capazes de recuperar senhas com 96% de precisão e PINs em ATMs com 87% de acurácia.

Poderia ser pior

Para cibercriminosos, entretanto, esses dados não são tão úteis. Para utilizá-los ainda precisam de acesso ao seu computador ou cartão de crédito. A tarefa de determinar o número de um cartão ou o código de segurança é bem mais delicada. Ao voltar para o trabalho, muito provavelmente a primeira coisa digitada é a senha de desbloqueio do computador. Ou seja, o acelerômetro primeiro registra a caminhada e depois os toques no teclado. Com base nos dados apenas desse período, é possível recuperar a senha. Entretanto, essa pessoa dificilmente digita um número de cartão de crédito logo que chega ao escritório ou se levanta depois de inserir esses dados. Sem falar que é improvável alguém digitar essas informações várias vezes seguidas. A fim de roubar dados digitados por meio de smartwatches, criminosos precisam prever atividades realizadas antes do ato de digitar as informações diversas vezes. Essa última razão é mais um motivo para não usar a mesma senha em diferentes dispositivos.

Quem deve ficar de olho nos smartwatches?

Nossa pesquisa mostra que os dados obtidos do acelerômetro embutido no smartwatch podem ser usados para recuperar informações sobre o usuário: movimentos, hábitos, informações digitadas (por exemplo, a senha de um notebook). Infectar o dispositivo com um malware que permite selecionar esses dados para serem recuperados por cibercriminosos é algo bem direto. Precisa-se apenas criar um aplicativo (algo simples como um template de um relógio ou fitness tracker), adicionar uma função que leia os dados do acelerômetro e disponibilizá-lo na Google Play. Em teoria, um aplicativo desses passará pelo filtro contra malware, afinal, não há nenhuma funcionalidade extremamente maliciosa no que ele faz. Já se você deve se preocupar em ser espionado por alguém por meio dessa técnica, é outra história. Apenas se alguém tiver uma motivação muito forte para vigiá-lo. Os cibercriminosos comuns buscam alvos fáceis e não ganhariam muito nesse cenário. Entretanto, se a senha do seu computador ou rota para o escritório possui valor para alguém, um smartwatch se trata de uma ferramenta de rastreio viável. Nesse caso, nosso conselho é  seguinte:
  • Fique de olho se seu smartwatch consome muita internet ou bateria.
  • Não forneça permissões em excesso a aplicativos. Principalmente, preste atenção nos apps que requerem informações de conta e coordenadas geográficas. Sem esses dados, intrusos passarão por maus bocados ao tentar identificar se realmente é seu smartwatch.
  • Instale uma solução de segurança como o Kaspersky Internet Security para Android em seu smartphone que possa auxiliar a detectar spyware antes que ele comece o trabalho sujo.
Ricardo Esper
Ricardo Esper

Ricardo Esper é um experiente profissional com 40 anos em tecnologia e segurança cibernética, fundador da NESS e atuante na Ionic Health como CISO. Especialista em gestão de crises, compliance e investigação na Trustness e forense.io, contribui para várias entidades, incluindo HackerOne e OWASP, promovendo práticas seguras em tecnologia.

Falando nisso…

Dupla autenticação WhatsApp

Dupla autenticação WhatsApp

Cada dia mais escutamos casos de fraude baseados no WhatsApp. Sinceramente ainda fico chocado como alguém ainda pode...

0 comentários