שעונים חכמים, צמידי כושר ואביזרים לבישים אחרים הופכים לחלק מהחיים של כולם במהירות רבה, ממש כמו הטלפונים הניידים והטאבלטים שלנו. הגאדג׳טים המחוברים האלה עושים הרבה יותר מלהגיד לנו מה השעה. הם עוקבים אחרי הבריאות שלנו, מציגים את המיילים שלנו, שולטים בבתים החכמים שלנו ואפשר אף להשתמש בחלקם כאמצעי תשלום בחנויות. הם חלק נוסף ממה שנקרא ״האינטרנט של הדברים״ (IoT), שהופך את החיים של כולנו לבריאים ונוחים יותר, תוך כדי צמצום הזמן שאנחנו מקדישים למסכי הטלפונים החכמים שהגיע לקצת פחות משש שעות עבור כחצי מהאמריקאים בשנה הזו.
באופן די צפוי, מדובר בשוק שצפוי לגדול ב-12.5% מדי שנה במהלך השנים הקרובות ולהגיע למכירות של 118 מיליארד דולר עד 2028. אך כשאביזרים לבישים מתחברים לחיי היום-יום שלנו יותר מכל מכשיר אחר, הם גם אוספים כמות גדולה יותר של נתונים ומתחברים למספר הולך וגדל של מערכות חכמות אחרות. כדאי להבין את הסיכונים האפשריים לבטיחות ולפרטיות לפני שאתם מתחילים להשתמש במכשירים כאלה.
מהם השיקולים העיקריים בכל הקשור לבטיחות ופרטיות?
לגורמי איום יש מספר דרכים באמצעותן הם יכולים להרוויח כסף ממתקפות על מכשירים חכמים לבישים ועל אקו-סיסטם של אפליקציות ותוכנות שקשורות אליהם. הם יכולים ליירט נתונים וסיסמאות ולשנות אותם, ויכולים לשחרר מכשירים שאבדו או נגנבו מנעילה.
אך מה קורה עם השיתוף הסמוי של הנתונים האישיים שלנו עם צדדים שלישיים?
גניבת ושינוי נתונים
חלק מהשעונים החכמים שכוללים פיצ׳רים רבים מאפשרים גישה מסונכרנת לאפליקציות שבטלפון שלכם, כמו הדוא״ל ואפליקציות המסרים המידיים. זה עלול לאפשר למשתמשים לא-מורשים ליירט מידע אישי רגיש. באותה המידה, קיים חשש שחלק מהמידע הזה יאוחסן במכשיר הלביש עצמו. אם המכשיר אינו מוגן כמו שצריך, ייתכן שהאקרים ינסו לתקוף אותו. יש שוק שחור משגשג לסחר בסוגים מסוימים של נתונים אישיים ופיננסיים.
איומים מבוססי מיקום
סוג המידע העיקרי הנוסף שמתועד ע״י מרבית המכשירים הלבישים הוא המיקום. באמצעות המידע הזה, האקרים יכולים לבנות פרופיל מדויק של התנועה שלכם במהלך היום. זה יכול לאפשר להם לתקוף פיזית את לובש המכשיר, או לנסות ולפרוץ לו לרכב או לבית בזמן בו הם יודעים שככל הנראה הוא לא נמצא בו. קיים חשש גדול אף יותר לבטיחותם של ילדים המשתמשים במכשירים כאלה, אם הם נמצאים תחת מעקב של גופים חיצוניים לא-מורשים.
חברות חיצוניות
המשתמשים צריכים להיזהר מפני סיכונים נוספים, ולא רק מפני סיכוני האבטחה. הנתונים שהמכשירים שלכם אוספים עשויים להיות בעלי ערך רב למפרסמים. הסחר בנתונים כאלה משגשג בשווקים מסוימים, על אף שהנתונים האלה אמורים לעמוד ברגולציות קפדניות באיחוד האירופי הודות לחקיקה שהוצגה בשנת 2018. דוח אחד טען שהרווח ממידע שנאסף ע״י יצרני מכשירי בריאות ונמכר לחברות ביטוח עשוי להגיע ל-855 מיליון דולר עד 2023.
חלק מהחברות החיצוניות אף עשויות להשתמש בנתונים כדי ליצור פרופילי פרסום של לובשי המכשירים ולמכור את הפרופילים האלה. אם המידע הזה מאוחסן ע״י מספר חברות נוספות לאורך הדרך, הסיכון גדל אף יותר.
שחרור הבית החכם מנעילה
חלק מהמכשירים הלבישים מאפשרים שליטה במכשירי בית חכם. ניתן אף להגדיר אותם כך שיפתחו את נעילת הדלת הראשית לבית. זה יוצר סיכון אבטחה משמעותי במקרים בהם מכשיר כזה אבד או נגנב וההגדרות להגנה מפני גניבה לא מעודכנות.
מהם החסרונות של האקו-סיסטם של מכשירים כאלה?
חשוב להבין כי המכשיר אותו אתם לובשים הוא רק חלק אחד מתמונה גדולה. למעשה, ישנם מספר מרכיבים – החל מהקושחה של המכשיר ועד לפרוטוקולי התקשורת בו הוא משתמש, האפליקציה שלו ושרתי הענן המשמשים את פעולות צד-השרת שלו. כל אלו עשויים להיות יעד למתקפה אם היצרן לא דאג לאבטחה ולפרטיות.
הנה חלק מנקודות התורפה:
• בלוטות׳: חיבור בלוטות׳ באנרגיה נמוכה (BLE – Bluetooth Low Energy) הוא סוג החיבור המשמש בדרך כלל לחיבור
מכשירים לבישים לטלפונים חכמים. עם זאת, במהלך השנים התגלו פרצות אבטחה רבות בפרוטוקול הזה. הפרצות האלה
אפשרו לתוקפים שקרובים אליכם פיזית לגרום לקריסת המכשירים, לצותת למידע העובר אליו וממנו או לשנות את הנתונים
העוברים מצד אחד לשני.
• מכשירים: במקרים רבים, התוכנה שעל המכשיר עצמו חשופה למתקפה חיצונית בשל תכנות לקוי. גם השעון הטוב ביותר
נבנה ע״י בני אדם, ולכן עשויות להיות בו טעויות קוד. הטעויות האלה עשויות להוביל לפגיעה בפרטיות, לאובדן מידע ועוד.
• אימות והצפנה חלשים של המכשירים האלה עשויים לחשוף אותם לפריצה ולציתות. הלובשים צריכים להיזהר גם מפני הצצה
מעבר לכתף אם הם צופים בהודעות או בנתונים רגישים במכשירים הלבישים שלהם כשהם נמצאים במרחב ציבורי.
• אפליקציות: האפליקציות בטלפון החכם שמתחברות למכשירים לבישים יוצרות אפיק תקיפה נוסף. ייתכן שגם הקוד שלהן
נכתב באופן לקוי ומלא בפרצות אבטחה ויאפשר גישה לנתונים והמכשירים של המשתמש. בנוסף, ייתכן שהאפליקציות או אף
המשתמשים עצמם לא מתייחסים לנתונים באחריות המתבקשת. כמו כן, קיימת האפשרות שתורידו אפליקציה שמתחזה
לאפליקציה המקורית ונראית כמו האפליקציה הלגיטימית ותזינו אליה פרטים אישיים.
• שרתים: כפי שהוזכר, המערכות מבוססות-הענן של הספקים עשויות לאחסן מידע הכולל נתוני מיקום ונתונים נוספים. זו מטרה
אטרקטיבית במיוחד לתוקפים שמחפשים להרוויח רווח גדול ממתקפה. לא תוכלו לעשות הרבה מהבחינה הזאת, מלבד בחירה
בספק אמין שידוע לטובה מבחינת אבטחה.
לרוע המזל, רבים מהתרחישים שתוארו למעלה הם לא תיאורטיים. לפני מספר שנים, חוקרי אבטחה מצאו פרצות במגוון גדול של שעונים חכמים לילדים שחשפו נתוני מיקום ופרטים אישיים. לפני הגילוי הזה, חקירה נפרדת גילתה שיצרנים רבים שלחו נתונים אישיים באופן בלתי-מוצפן מילדים המשתמשים במוצרים לבישים לשרתים שממוקמים בסין.
החששות הללו קיימים גם היום, והמחקרים מראים שגאדג׳טים כאלה חשופים למניפולציות שאף עשויות לגרום למצוקה גופנית למשתמש. מחקר אחר טוען שהאקרים יכולים לשנות סיסמאות, לקיים שיחות, לשלוח הודעות טקסט ולגשת למצלמות דרך מכשירים שמיועדים לנטר קשישים וילדים.
העצות הטובות ביותר לנעילת המכשירים שלכם
למרבה המזל, ישנם כמה דברים שתוכלו לעשות כדי לצמצם את הסיכונים:
• הפעלת אימות דו-שלבי
• מסכי נעילה מוגנים בסיסמה
• שינוי הגדרות למניעת חיבור לא-מורשה
הגנו על הטלפון החכם שלכם באמצעות:
• שימוש בחנויות אפליקציות לגיטימיות בלבד
• עדכון כל התוכנות באופן קבוע
• הימנעות מוחלטת מפריצת jailbreak/root בטלפון
• הגבלת ההרשאות לאפליקציות
• התקנת פתרון אנטי-וירוס אמין על הטלפון
הגנו על הבית החכם באמצעות:
• הימנעות מוחלטת מסינכרון בין המכשירים הלבישים ובין דלת הבית
• חיבור מכשירים חכמים לרשת האלחוטית של האורחים
• עדכון לגרסת הקושחה האחרונה בכל המכשירים
• שינוי סיסמאות ברירת-המחדל בכל המכשירים
ובאופן כללי:
• רכשו מכשירים לבישים מספקים אמינים
• בחנו בקפדנות את הגדרות הפרטיות והאבטחה ווודאו שהן מוגדרות כהלכה.
ככל שמכשירים לבישים יהפכו להיות חלק גדול יותר מהחיים של כולנו, הם יהפכו למטרה גדולה יותר לתוקפים. בצעו מחקר לפני שאתם רוכשים מכשיר כזה, וחסמו מספר גדול ככל האפשר של נתיבי תקיפה מיד עם הפעלת המכשיר.