Smartwatch e sicurezza informatica

Siamo abituati a vedere persone con un orologio al polso ma negli ultimi anni questi strumenti si sono entrati a piè pari nel mondo digitale fino a diventare uno strumento di prolungamento del nostro smartphone.
Gli smartwatch possono misurare la frequenza cardiaca, verificare la qualità del nostro sonno, permetterci una lettura rapida dei messaggi in arrivo e hanno moltissime altre funzionalità innovative.

E’ proprio il caso di dirlo, gli smartwatch hanno avuto un successo clamoroso, tanto che sono in pochi a non averne ancora uno.
Ma a tutta questa popolarità corrisponde anche una efficiente difesa dalle minacce informatiche?

1. Rischi di sicurezza legati agli smartwatch

2. Rischi di privacy legati agli smartwatch

3. Punti di vulnerabilità

4. Best practice per la sicurezza del tuo smartwatch

5. Conclusioni

Gli smartwatch sono dispositivi IoT e presentano per lo più gli stessi problemi di sicurezza degli altri dispositivi che rientrano nella categoria Internet delle cose. Man mano che la diffusione di questi oggetti diventa maggiore, aumentano anche i malintenzionati interessati ad attaccarli per ottenere l’accesso a dati sensibili.

I dispositivi IoT sono comodi da utilizzare perché sono in grado di comunicare tra di loro ma questo traffico di dati deve essere adeguatamente protetto.

1. Mancanza di standard di sicurezza

Gli orologi smart proprio perché sono relativamente nuovi nel mercato delle tecnologie per molto tempo non sono stati oggetto di studio da parte della comunità cybersecurity internazionale. Considerati un vero e proprio oggetto innocuo, non sono mai stati oggetto di studio all’interno dei protocolli universali di sicurezza, almeno fino ad oggi.

L’espansione rapida di questo mercato ha fatto si che l’Unione Europea prendesse atto dell’esigenza di standard di sicurezza anche per i dispositivi IoT. A tal proposito, l’UE ufficializza un protocollo che entrerà in vigore a metà del 2024. Tuttavia, ad oggi, la sicurezza degli smartwatch non è ancora regolamentata e monitorata da un ente centrale ma affidata al buonsenso del produttore.

2. Phishing

Anche attraverso il vostro orologio tecnologico potete incappare in un tentativo di phishing.

Come si svolge un attacco phishing via smartwatch?

Scaricando una applicazione fraudolenta da uno Store non ufficiale e inserendo i vostri dati. Ovviamente in questo caso non si tratta di una vulnerabilità del dispositivo ma è comunque un rischio tangibile per la sicurezza dei dati.

3. Sincronizzazione con altri dispositivi IoT

Un’altra favolosa occasione che ci viene offerta da questi dispositivi indossabili è quella di controllare da remoto altre apparecchiature IoT in nostro possesso. Se però un hacker riuscisse a violare il nostro smartwatch potrebbe prendere il controllo. Altre persone usano questa nuova tecnologia per autorizzare i pagamenti o per effettuarli. Anche in questo caso, sarebbe sufficiente violare la connessione Bluetooth e intrufolarsi nell’orologio per avere il controllo della carta di credito.

4. Password predefinite

Come in tutti i dispositivi IoT gli smartwatch richiedono una password per il primo accesso che è fornita dal produttore e che spesso viene lasciata immutata per mesi se non addirittura per anni. Ebbene queste password (definite anche password di default) sono pensate esclusivamente per la sicurezza del primo accesso ma non sono adatte a difendere il dispositivo nel tempo.
Per un hacker, infatti, è piuttosto semplice risalire alla password di default del vostro orologio, può violarla facilmente o comprarla su appositi forum sul dark web. Provvedete a modificarla immediatamente.

Le istruzioni si trovano sul manuale utente normalmente ma alcune aziende meno note, che vendono prodotti molto economici potrebbero non aver previsto questa opzione. Ecco perché bisognerebbe acquistare questi prodotti solo da marchi noti e affidabili.

5. Riconfigurazione via SMS

Alcuni smartwatch con livelli di sicurezza particolarmente bassi, per lo più destinati ai bambini, potevano essere riprogrammati attraverso dei semplici messaggi di testo. Ovviamente, accuratamente scritti e programmati da cybercriminali.

Questi messaggi potevano sganciare il collegamento tra lo smartwatch e il telefono a cui era collegato e abbinarlo a quello del malintenzionato.
In questo modo, il truffatore aveva il completo controllo del dispositivo, poteva tracciarne il GPS o chiamare l’utente.

6. Attacchi hacker

Gli attacchi hacker ai danni di orologi di ultima tecnologia non sono ancora così diffusi.
Ciononostante sono possibili tipi di attacchi hacker e l’installazione di malware a bordo di questi dispositivi. La motivazione risiede nel fatto che i punti di vulnerabilità spesso, non sono adeguatamente protetti.

Altri rischi da non sottovalutare quando si parla di dispositivi connessi ad internet e, in particolare quelli gli smartwatch, sono quelle legati alla privacy. Eccone un breve elenco:

1. Manomissione o esfiltrazione di dati sensibili

Alcuni smartwatch permettono la sincronizzazione con le applicazioni presenti sullo smartphone, ad esempio quelli che permettono la ricezioni di messaggi o e-mail. Questo potrebbe offrire un’occasione ghiotta a persone non autorizzate di accedere a dati sensibili. Ma non solo, se i dati archiviati sullo smartwatch non hanno un livello di protezione adeguato il provider potrebbe essere preso di mira da ladri di informazioni.

2. Geolocalizzazione

La maggior parte di questi dispositivi permette il tracciamento della posizione, utile per la stima dei passi del giorno o per altri usi in ambito del fitness. Se un malintenzionato dovesse riuscire a mettere le mani sul registro dei vostri spostamenti potrebbe ricavare molto delle vostre abitudini.

3. Società terze

I dati raccolti dal dispositivo possono essere una miniera d’oro per gli inserzionisti.
Nonostante l’entrata in vigore del GDPR esiste tutt’ora un mercato florido di tali dati. Uno smartwatch in particolare è spesso utilizzato per monitorare i parametri vitali di una persona. I dati raccolti possono rivelare preziose informazioni sensibili. Basti pensare che durante la pandemia è stata condotta una ricerca che mostra come sia possibile riconoscere una persona infetta da Covid-19 dal suo tracciato cardiaco, rilevato tramite smartwatch, 7 giorni prima che si manifestassero i primi sintomi e che, quindi, il malato stesso ne fosse a conoscenza.

Che conseguenze ci sarebbero se questi dati fossero incautamente divulgati a società terze o utilizzati per la profilazione?

Riflettiamo ora su quali siano i punti vulnerabili più importanti del vostro orologio tecnologico.

Quali sono le debolezze che un malintenzionato potrebbe sfruttare per intrufolarsi nel tuo dispositivo e concretizzare uno degli scenari critici di cui abbiamo discusso prima?

• Bluetooth Low Energy: è lo strumento impiegato per connettere il telefono al dispositivo indossabile. Questo protocollo presenta molte falle di sicurezza.

• Il software implementato potrebbe essere stato codificato in modo impreciso e contenere dei bug.

• Una autenticazione o una crittografia debole possono esporre il proprietario ad un furto di dati.

• Applicazioni fraudolente o mal programmate

• I sistemi basati su cloud possono archiviare molte informazioni sul dispositivo, se il fornitore del servizio è rinomato probabilmente non avrai problemi con questa vulnerabilità ma il rischio è sempre in agguato quando ci si affida a prodotti di qualità infima.

• I dati dell’accelerometro sono utili per tracciare i movimenti ma possono essere sfruttati per rilevare password e informazioni finanziare. Sarebbe un lavoro molto oneroso per un hacker ma se puntasse una personalità di spicco potrebbe comunque sceglier di utilizzarlo in virtù del enorme profitto che ne ricaverebbe.

Considerata l’ingente quantità di rischi a cui sono esposti gli smartwatch, la buona notizia è che in attesa che entri in vigore la normativa europea per la sicurezza informatica di questi dispositivi, anche gli utenti possono fare la loro parte. Questo non eliminerà i rischi ma contribuirà a tenerli sotto controllo. Come?

• Bloccare l’abbinamento non autorizzato attraverso l’apposita impostazione.
• Utilizzare l’autenticazione a due fattori per collegare il dispositivo indossabile allo smartphone
• Impostare una password per lo sblocco dello schermo
• Acquistare solo da marchi rinomati, gli altri potrebbero aver risparmiato sulla sicurezza
• Limitare i permessi delle app e limitare di collegare troppe attività personali al proprio polso finché non ci saranno degli standard europei
• Scarica Applicazioni solo da AppStore legittimi
• Non sincronizzare l’orologio con la porta di casa o altre funzionalità essenziali
• Aggiornare tutti i dispositivi interconnessi
• Modifica le credenziali predefinite di accesso
• Configura le impostazioni privacy

Il boom della popolarità di dispositivi IoT e indossabili ci fa prevedere che in un futuro sempre più prossimo molti hacker e criminali informatici li sceglieranno come obiettivi per i loro attacchi.

In più, la normativa di riferimento in ambito di sicurezza informatica per questi dispositivi non è ancora in vigore.
Questo espone gli utenti a rischi difficili da arginare. Spesso infatti sono gli stessi produttori a non occuparsi della sicurezza dei prodotti che venderanno e questo può avere delle conseguenze spiacevoli sugli acquirenti ignari.

Gli smartwatch in particolare sono comodissimi ma raccolgono moltissime informazioni sensibili sui loro utilizzatori e se queste dovessero finire in mani sbagliate ci sarebbero rischi altissimi.

Il nostro consiglio è questo: in attesa del 2024 quando finalmente ci saranno degli obblighi per le società produttrici, continuiamo a godere dell’esperienza che gli orologi tecnologici ci offrono ma con molta prudenza.