Pulseiras de fitness permitem seguir usuários via Bluetooth, excepto Apple Watch

EspionagemInovaçãoRegulaçãoVestíveis

Entre oito dos principais gadgets usados para monitorizar o exercício físico, apenas um previne a vigilância de terceiros usando Bluetooth: o Apple Watch. Todas as outras pulseiras permitem seguir o usuário remotamente, de acordo com um estudo divulgado pela Open Effect.

Esta é uma organização canadiana sem fins lucrativos e o estudo foi financiado pela comissão de proteção de privacidade do Canadá, com a colaboração do Citizen Lab da Universidade de Toronto. A intenção era perceber até que ponto pulseiras de fitness que são usadas por milhões de pessoas em todo o mundo colocam salvaguardas de sua privacidade ou simplesmente descuram este aspeto. Foram escolhidas oito: Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, Mio Fuse, Withings Pulse O2, Xiaomi Mi Band, Basis Peak (da Intel) e o Apple Watch.

A conclusão é que a esmagadora maioria permite seguir os usuários sem que estes saibam, além de deixarem muitos dados pessoais à mercê de exploração. Esta não é apenas uma questão de poder piratear uma Fitbit ou Jawbone: a segurança básica dos dados e dos usuários está em causa. Todas as empresas foram notificadas dos resultados e da publicação do estudo, intitulado “Every step you fake.”

Os investigadores analisaram como são protegidas as transmissões de informação entre a pulseira e a internet; se os dados enviados poderiam ser adulterados; e se as pulseiras incluem a implementação de Bluetooth LE Privacy, uma funcionalidade que muda o endereço MAC aleatoriamente e de forma periódica para que o gadget não possa ser seguido.

Garmin e Withings com piores resultados

No primeiro caso, “concluimos que a maioria dos aplicativos utiliza HTTPS para encriptar as comunicações”, dizem os investigadores. “A grande excepção são os apps Garmin Connect para Android e iOS, que não encriptam a transmissão de dados de fitness na Internet.” Os apps apenas usam HTTPS na altura da criação da conta e na entrada (sign on). O relatório nota ainda que a Withings Health Mate não usa HTTPS quando um usuário tenta partilhar o quadro de resultados com um contacto.

Na segunda vertente, os testes demonstraram que a Garmin Connect e a Withings Health Mate “são vulneráveis a observação e adulteração por parte de terceiros no momento da transmissão.” A Jawbone UP e a Withings Health Mate deixam que um usuário envie suas credenciais para falsificar os relatórios que chegam às marcas, uma adulteração fácil de fazer.

O terceiro ponto é o mais importante. “Descobrimos que apenas o Apple Watch implementa Bluetooth LE Privacy; todos os outros aparelhos não o fazem”, sublinham os investigadores. O relógio da Apple muda o MAC address aproximadamente a cada dez minutos.

Sem esta funcionalidade, as pulseiras transmitem um sinal com um identificador Bluetooth único e persistente: terceiros podem seguir os usuários mesmo quando as pulseiras não estão emparelhadas com um smartphone. Os cenários enunciados pelos investigadores referem-se aos centros comerciais, que agora têm sistemas que fazem um ‘scan’ dos aparelhos Bluetooth em suas instalações, e forças policiais ou outras autoridades, que podem estar interessadas nas bases de dados com estes perfis.

A Fitbit respondeu aos investigadores sobre esta questão e disse estar interessada em sua implementação, mas afirmou que o ecossistema Android é muito fragmentado e que muitos aparelhos não suportam LE Privacy. A Intel também respondeu, mas não pretende fazer alterações na Basis Peak.

O estudo integral pode ser consultado neste link.


Clique para ler a bio do autor  Clique para fechar a bio do autor