secretmag.ru
Технологии6 мин.

Ручные шпионы. Как умные часы могут следить за вами и что можно с этим сделать

Freepik/pressfoto

Эксперты по кибербезопасности предупредили о слежке и воровстве данных через умные часы. Смарт-часы, которые мы зачастую носим сутки напролёт, оказываются очень удобным гаджетом, чтобы следить за вами. Они могут передавать на сторону ваши данные, разговоры, содержимое смартфона и даже воровать пароли. Насколько реально установить прослушку и иные шпионские программы на часы и что делать, если вы подозреваете слежку за своими наручными устройствами, «Секрету» рассказали эксперты из «Лаборатории Касперского» и Positive Technologies.

Представьте ситуацию: вам подарили умные часы, вы радостно нацепили их, и через какое-то время обнаружили, что даритель оказывается в курсе ваших перемещений или конфиденциальных разговоров. Вывод: часы оказались с секретом.

Попахивает паранойей? Да, но сценарий этот не такой уж фантастический. И это далеко не всё, что может сделать злоумышленник с доступом к смарт-часам.

Можно ли установить на часы шпионские приложения

Умные часы, несмотря на все свои электронные мозги, часто воспринимаются пользователями как «недостаточно» умные в сравнении со смартфоном. Это связано с тем, что у них меньше функций и менее удобный интерфейс, в том числе для установки приложений. Многие владельцы смарт-часов и вовсе свято уверены, что никакие приложения кроме предустановленных заранее, на их устройства установить не получится. И в этом они ошибаются.

Гипотетически на каждых умных часах есть своя встроенная операционная система. И часы в том виде, в котором они работают у пользователя, функционируют в режиме своего рода «киоска»: они не дают полного доступа к функционалу операционной системы. При этом существуют способы обхода этих ограниченных пользовательских режимов, а еще также существует процедура джейлбрейка — установка программного обеспечения, отличного от предоставляемого производителем этого устройства. Таким образом, в теории, можно установить какие-то программы на часы, чтобы этот софт работал в скрытом режиме, вне основной деятельности часов.

Владимир Дащенко
эксперт по кибербезопасности Kaspersky ICS CERT

Впрочем, даже если у вас нет скрытого недоброжелателя, превратить свои часы в шпиона ненароком можете и вы сами. Достаточно просто спустя рукава относиться к азам кибербезопасности.

Все часы имеют свою подсистему приложений. В частности, гаджеты на базе ОС Андроид позволяют устанавливать приложения из официального магазина Google Play. А там могут быть и вредоносные приложения, которые легко скачать по невнимательности. Пользователь также может установить приложение из неофициального магазина, что многократно увеличивает риск заражения вредоносным ПО. Каждое приложение, которые пользователь устанавливает на часы, собирает данные и необходимо понимать перед установкой приложения, какие именно. Обычно это пишется в политиках пользования приложением.

Денис Кувшинов
руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies (PT ESC)

Можно ли через умные часы взломать смартфон

У многих смарт-часов расширенная часть функционала, такая как анализ вашего сна и активности, становится доступна только при синхронизации со смартфоном. По сути, смартфон может быть постоянно связан с вашими часами через Bluetooth, если только вы сами не отключаете его каждый раз после синхронизации.

Это создаёт канал обмена данных, которым в теории могут воспользоваться злоумышленники.

Существуют приложения для часов, которые требуют доступ к некоторым функциям на телефоне. Таким образом, злоумышленники могут красть необходимые им данные с телефона, если пользователь принял условия использования приложения и предоставил требуемые разрешения.

Денис Кувшинов
руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies (PT ESC)

Но на практике, указал эксперт из «Лаборатории Касперского», не всё так просто.

Гипотетически это возможно. Часы со смартфоном общаются через Bluetooth. Есть векторы атак на те или иные устройства как раз через Bluetooth, и в теории такое можно реализовать. Но о реальных громких примерах, вне полевых условий, пока не известно.

Владимир Дащенко
эксперт по кибербезопасности Kaspersky ICS CERT

Могут ли прослушивать через умные часы

Умные часы последних поколений — гаджет настолько самодостаточный, что может даже принимать звонки вместо вашего смартфона и управляться голосовыми командами. По сути, это портативный ассистент.

Но если у устройства есть микрофон или камера — значит, есть все возможности записывать за вами. Если, конечно, такая цель перед кем-то стоит, и если в часах есть скрытая закладка или приложение с таким функционалом, указал Денис Кувшинов.

Если допускать возможность взлома смартфона через умные часы, они могут задействовать для записи и микрофон в мобильном. Но о таких случаях наши кибер-эксперты не слышали.

Часы без микрофона вряд ли могут использовать микрофон смартфона для записи разговоров. По крайней мере, на практике такое не встречается. А вот часы с микрофоном всё же могут записывать за вами, если они скомпрометированы. И, к сожалению, уже были такие случаи, когда часы записывали за человеком без его ведома.

Владимир Дащенко
эксперт по кибербезопасности Kaspersky ICS CERT

Какие данные могут воровать умные часы

Часы записывают достаточно большое количество информации, в том числе и всякие push-уведомления, которые приходят, и другие программные данные, частота сердечных сокращений, температура тела, то, как мы двигаемся, что мы делаем и как. В часах также может храниться пользовательская информация, переписки, нотификации от приложений, фотографии. Всё это в умелых руках может стать грозным оружием против вас.

Будем честны, если говорить об атаках хакеров, прослушка — один из наименее вероятных вариантов слежки через умные часы. Во-первых, её проще установить сразу в смартфон, а во-вторых, если речь не идёт о вашем интересе для спецслужб или ревнивого партнёра, ваши разговоры — не самая интересная часть данных, которые можно получить со скомпрометированного устройства.

Куда больше хакеров интересуют ваши деньги. А значит, воровать имеет смысл более чувствительные данные, которые напрямую дадут им доступ к вашим аккаунтам и счетам. Например, часто вводимые вами пароли.

Часы собирают множество данных о ваших движениях. В теории эти данные можно использовать для восстановления вашего пароля или PIN-кода для банковской карты, который вы вводите в банкомате.

Денис Кувшинов
руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies (PT ESC)

Восстановить пароль по движениям рук? Звучит как фантастика, но только если не вспоминать, что все современные смарт-часы оборудованы акселерометром.

Например, когда началась пандемия, у Apple Watch с обновлением ПО появился такой функционал: трекинг мытья рук. То есть, часы понимали по движениям, когда вы моете руки, а когда нет, и в течение какого времени. И часы говорили «мойте руки дольше».

Владимир Дащенко
эксперт по кибербезопасности Kaspersky ICS CERT

Как исследовали в «Лаборатории Касперского», если установить на часы простенькое приложение, пересылающее на сторону ваши данные с акселерометра, с его помощью очень легко понять, когда человек печатает что-то на компьютере. При достаточно большом объёме собранных данных, которые может проанализировать нейросеть, можно восстановить даже текст, который набирал человек.

Легко это, опять же, в теории, в лабораторных условиях. В жизни такое приложение будет быстро сажать аккумулятор часов и съедать интернет-трафик, то есть, довольно скоро станет заметным, что что-то с устройством неладно. А нейросеть нужно обучать именно на ваших данных достаточно долгое время, ведь разные люди набирают текст по-разному.

Но если отследить момент, когда вы садитесь за компьютер и вводите пароль, дело у хакеров пойдёт гораздо быстрее. А если вы используете один пароль на все случаи жизни, когда он окажется скомпрометирован — вопрос даже не умных часов, а времени.

Что делать, если ваши смарт-часы за вами следят?

Как объяснил Владимир Дащенко, понять, есть ли слежка через смарт часы, достаточно сложно, потому что хорошо подготовленный атакующий будет тщательно скрывать свою деятельность и присутствие.

Однако если вас мучает паранойя, ничто не мешает использовать превентивные меры. Денис Кувшинов дал следующие советы по защите своего гаджета:

  • Внимательно изучите настройки конфиденциальности и безопасности, чтобы убедиться, что они настроены правильно.
  • Установите экран блокировки, защищенный паролем.
  • Измените настройки в часах для предотвращения несанкционированного сопряжения с другими устройствами.
  • Устанавливайте приложения из официальных магазинов приложений.
  • Поддерживайте ПО на часах в актуальном, обновленном состоянии.
  • Никогда не делайте джейлбрейк/рутирование устройств (предоставление прав суперпользователя).
  • Ограничьте разрешения приложений (например, не давайте доступ к фотокамере, контактам, банковским приложениям).

Если вы уверены, что за вами следят через смарт-часы, может помочь сброс до заводских настроек, однако этот способ не дает 100%-ной гарантии. Лучше всего перестать их носить и отдать предпочтение аналоговым.

Владимир Дащенко
эксперт по кибербезопасности Kaspersky ICS CERT