A Symantec aconselha sobre gravação eletrônica

symantec-elifeTodos os dias, milhões de pessoas em todo o mundo registram todos os aspectos de suas vidas, pensamentos, experiências e realizações de suas atividades (também conhecidas como auto-rastreamento ou registro de vida). As pessoas envolvidas no auto-rastreamento o fazem por vários motivos. Dado o volume de dados pessoais gerados, transmitidos e armazenados em vários locais, a privacidade e a segurança são questões importantes para os usuários desses dispositivos e aplicativos.

A Symantec descobriu riscos de segurança em um número significativo de dispositivos e aplicativos de rastreamento automático. Uma das descobertas importantes foi que todos esses dispositivos de atividade vestíveis examinados, incluindo algumas marcas líderes, são vulneráveis ​​ao rastreamento de localização.

Os pesquisadores criaram uma série de dispositivos de digitalização usando minicomputadores Raspberry Pi e os colocaram em eventos esportivos e em locais públicos movimentados, descobrindo que localizar pessoas era possível e viável.

A Symantec encontrou vulnerabilidades na maneira como os dados pessoais são armazenados e gerenciados, como senhas não criptografadas e gerenciamento inadequado de sessões ao conectar aplicativos a servidores.

Como funcionam os sistemas de rastreamento automático?Muitas pessoas envolvidas no auto-rastreamento o aplicam com dispositivos como pulseiras eletrônicas, relógios inteligentes, pingentes e até roupas “inteligentes”. Esses dispositivos geralmente contêm uma variedade de sensores, processador, memória e interface de comunicação. Esses dispositivos permitem ao usuário coletar, armazenar e transmitir seus dados sem esforço para outro computador para processamento e análise.

Apesar do crescente uso de gadgets especialmente projetados, os smartphones são talvez as ferramentas mais comuns que as pessoas usam para realizar o rastreamento automático. Um smartphone moderno está equipado com uma ampla gama de sensores diferentes que podem ser usados ​​para uma variedade de aplicativos de rastreamento automático. A maioria das pessoas sempre tem seus celulares com eles, e a infinidade de aplicativos gratuitos de rastreamento automático facilita mais do que nunca os usuários fazerem o rastreamento automático.

Para iniciar o auto-rastreamento, os usuários simplesmente selecionam entre os diversos aplicativos disponíveis no mercado de aplicativos, instalam um deles, se inscrevem nele e iniciam o rastreamento. No final de cada sessão, o usuário pode consultar e sincronizar os dados coletados em um servidor baseado em nuvem para armazenamento.

Quão seguro é o seu registro on-line?Quando nossos dados pessoais sobre informações gravadas eletronicamente sobre nós mesmos estão disponíveis para fornecedores, isso significa automaticamente que confiamos neles? Como sabemos que eles estão tomando todas as medidas necessárias para proteger nossos dados e nossa privacidade? Para poder ver o que está acontecendo, analisamos o que as empresas estão fazendo para proteger os usuários de seus serviços por meio de dispositivos e aplicativos de mercado populares.

Detecção de localização do dispositivo vestívelTodos os dispositivos de rastreamento de atividades vestíveis podem ser detectados através de protocolos de transmissão sem fio.Há muitos dispositivos de rastreamento esportivo vestíveis no mercado. Esses dispositivos geralmente contêm sensores para detectar movimento, mas a maioria não foi projetada para ser localizada. Os dados coletados desses dispositivos devem ser sincronizados com outro dispositivo ou computador para que possam ser processados. Por conveniência, muitos fabricantes usam Bluetooth de baixa potência para permitir que o dispositivo sincronize dados sem fio com um smartphone ou computador. No entanto, essa conveniência tem um preço; o dispositivo pode fornecer informações que permitem a localização de um local para outro.Para testar como esses dispositivos podem ser detectados, criamos um dispositivo portátil de digitalização Bluetooth usando minicomputadores Raspberry Pi e outros periféricos. como um adaptador Bluetooth 4.0, uma série de baterias e um cartão SD. Estes foram combinados com software de código aberto e scripts padrão. Cada dispositivo custa cerca de US $ 75 e pode ser facilmente criado por qualquer pessoa com conhecimentos básicos de informática.Os resultados da pesquisa mostram que os fabricantes desses dispositivos (incluindo os do mercado) não consideraram seriamente como lidar com os problemas de privacidade desses produtos. . Em conclusão, os dispositivos e aqueles que os usam podem ser facilmente identificados por qualquer pessoa com habilidades básicas de TI e com a ajuda de ferramentas baratas.

Por que devemos nos preocupar com isso?É possível que ladrões ou alguém nos observando possam usar as informações de localização para fins maliciosos. Existem exemplos em que ladrões usaram sistemas de detecção de localização para descobrir quando a vítima em potencial não está em casa!

20% dos aplicativos transmitem credenciais de usuário sem serem criptografados.Muitos desses aplicativos e serviços têm um servidor em nuvem em que os usuários devem fazer upload e armazenar os dados coletados por seus aplicativos para armazenamento e análise. Além de simplesmente armazenar dados de atividades, alguns serviços coletam informações pessoais adicionais, como data de nascimento, endereço, fotos e outras estatísticas. Para evitar acesso não autorizado aos dados do usuário, esses serviços exigem a criação de uma conta por usuários que serão protegidos por nome de usuário e senha.

O problema que percebemos foi que uma porcentagem inaceitavelmente alta desses aplicativos não processa dados confidenciais, como nomes de usuário (por exemplo, endereços de email) e senhas, com segurança. Muitos deles transmitem dados gerados por usuários, como credenciais de login, por meio de um meio inseguro, como a Internet, sem nenhum esforço para protegê-los (por exemplo, por criptografia). Isso significa que os dados podem ser facilmente interceptados e lidos pelos atacantes. A falta de segurança básica é uma grande omissão e levanta questões sobre como esses serviços lidam com as informações armazenadas em seus servidores.

Por que devemos nos preocupar com isso?A transferência de credenciais na forma de texto acrílico é particularmente problemática, pois a grande maioria das pessoas tende a reutilizar credenciais de login em muitos sites. Graças à reutilização, os detalhes de login roubados de um serviço provavelmente podem ser usados ​​para obter acesso a serviços confidenciais, como contas de email ou contas de compras online.

Falta de políticas de privacidadeOs aplicativos de rastreamento automático foram criados por natureza para coletar e analisar informações pessoais. Portanto, faz sentido esperar e de fato exigido por lei em muitos países (como o Online Privacy Protection Act 2003), as empresas que coletam e gerenciam dados pessoais têm uma política de privacidade em um local visível e com fácil acesso. As políticas de privacidade devem ser fáceis de entender e aparecer para os usuários antes de se inscreverem no serviço, para que eles tenham a opção antes de decidir usá-lo. Apesar da importância de ter uma privacidade política, a maioria dos aplicativos não possuía!

Por que devemos nos preocupar com isso?A falta de política de privacidade é uma possível indicação de como os provedores de serviços e aplicativos de rastreamento automático lidam com questões de segurança. Os usuários devem estar bem informados e levar isso em conta antes de assinar esses serviços.

Vazamento involuntário de dadosO número máximo de domínios exclusivos que entraram em contato com um único aplicativo foi 14 e a média foi 5. Em média, descobrimos que os aplicativos entram em contato com 5 domínios diferentes da Internet.No pior caso, encontramos um aplicativo que entrou em contato com 14 diferentes domínios durante o curto período de operação. Embora seja compreensível que os aplicativos possam precisar se comunicar com um pequeno número de domínios para que eles possam transmitir os dados coletados e obter acesso a determinadas APIs, como anúncios, pode ser uma surpresa que um número significativo de aplicativos entre em contato com 10 ou mais domínios diferentes para diferentes propósitos. Muitos dos aplicativos se referem a serviços de análise, enquanto outros usam essas análises para testar o desempenho do aplicativo em busca de problemas de falha.

Apesar das boas intenções dos desenvolvedores dos aplicativos, as informações sobre as atividades dos usuários podem ser reveladas da maneira mais improvável, graças ao fato de o aplicativo usar serviços de terceiros. Existem vários exemplos indicativos em que o aplicativo pode vazar inadvertidamente seus dados.

Por que devemos nos preocupar com isso?Muitos de nós gostam de compartilhar detalhes de nossas vidas, incluindo amigos e familiares, há algumas coisas que não necessariamente queremos compartilhar. “Quando escolhemos não compartilhar algo, certamente não queremos que os provedores de serviços façam isso por nós.

Outras vulnerabilidades de segurançaEm cada serviço de compartilhamento, as contas de usuário são usadas para separar o status dos usuários e seus dados dos outros. As sessões são usadas para gerenciar e processar o fluxo de dados, para que os usuários possam acessar apenas seus próprios dados e executar tarefas nos dados aos quais têm acesso. O gerenciamento inadequado de sessões pode ser uma questão de exploração por cibercriminosos, que podem se infiltrar em sessões e “fingir” para outros usuários. Isso pode resultar em vazamento de informações, vandalismo de informações e outros problemas.

Por que devemos nos preocupar com isso?Sistemas mal projetados podem expor vulnerabilidades sérias e explorar invasores. Isso pode levar a uma violação completa dos dados do usuário pelo provedor de serviços. Dependendo da sensibilidade dos dados, os efeitos para os usuários podem variar de insignificantes a muito graves.

O que você pode fazer sobre isso?À primeira vista, a gravação eletrônica e a privacidade não parecem andar de mãos dadas. Como é possível gravar uma grande quantidade de dados sobre você e manter sua privacidade? Considerando as questões de segurança e privacidade que surgiram, a conclusão óbvia é que, se você estiver procurando por sua privacidade, é melhor não fazer nenhum auto-rastreamento! Apesar dos riscos potenciais de segurança e privacidade, o movimento que suporta sua gravação eletrônica Nosso eu continua a crescer significativamente e espera-se que continue a crescer por mais alguns anos. Para garantir que os usuários continuem desfrutando dessa atividade com segurança, a Symantec sugere tomar algumas precauções básicas para se proteger contra o risco de expor informações pessoais de rastreamento automático – Use o bloqueio de tela ou uma senha para impedir o acesso não autorizado ao seu dispositivo – não use o mesmo nome de usuário e senha em sites diferentes – use senhas ‘fortes’ – desative o Bluetooth quando não precisar – tenha cuidado quando sites e serviços solicitarem informações desnecessárias ou Informações excessivas – Tenha cuidado ao usar a capacidade de compartilhar essas informações nas mídias sociais – Evite compartilhar detalhes do seu site nas mídias sociais – Evite aplicativos e serviços que não exibem sua política de privacidade – Leia e entender o po Privacidade dos aplicativos e serviços que você usa – Instale atualizações nos aplicativos e sistemas operacionais quando disponíveis – Use uma solução de segurança para o seu dispositivo – Use criptografia completa do dispositivo, se disponível

Fonte: allaboutandroid.gr