Assomigliano a semplici orologi, ma in realtà fanno molto di più, collezionano dati relativi allo stile di vita e allo stato di salute degli utenti su larga scala, aiutandoli nell’allenamento. Sono i Fitness Tracker, sempre più diffusi tra gli appassionati di sport, e che però si prestano ad attacchi informatici. Un team di ricercatori italo-tedesco (il gruppo SPRITZ – Security and Privacy Research Group guidato dal prof. Mauro Conti dell’Università di Padova, e il gruppo CYSEC guidato dal prof. Ahmad-Reza Sadeghi dell’Università TU Darmstadt) ha investigato potenziali opportunità di attacchi che coinvolgono questi dispositivi individuando importanti falle di sicurezza. “Abbiamo esaminato 17 dispositivi di fitness tracking di produttori noti e meno noti – spiega il prof. Mauro Conti – e abbiamo potuto manipolare i dati trasmessi dai dispositivi e destinati a un server cloud, simulando un attacco informatico noto come ‘man-in-the-middle’, esaminando così la sicurezza dei protocolli di comunicazione utilizzati dai fitness trackers. Il risultato è che, anche se tutti i sistemi di traking cloud-based testati usano un protocollo di cifratura come HTTPS per trasferire i dati, i nostri ricercatori sono stati in grado di falsificare i dati in tutti i casi”.
Un risultato – sottolinea l’ateneo padovano – che pone non pochi problemi, dato che la popolarità dei dispositivi fitness tracker è in costante crescita (circa 20 milioni di apparecchi venduti solo nel primo trimestre del 2016) e recentemente sono stati usati come prova in un caso giudiziario negli Stati Uniti; polizia e avvocati hanno iniziato a riconoscere i dispositivi indossabili (wearables) come “scatole nere” del corpo umano (come scrive il NY Daily News nell’aprile 2016). Inoltre, alcune compagnie assicurative hanno iniziato ad offrire sconti sulle assicurazioni sanitarie alle persone che condividono con loro dati derivanti dai loro dispositivi di fitness tracking. Questo può diventare pane per i denti dei truffatori, che possono così trarre benefici in modo fraudolento, o perfino influenzare processi giudiziari. Molti di questi dispositivi sono dotati di GPS e altri sensori, e misurano le distanze percorse dagli utenti che fanno jogging, o monitorano il loro battito cardiaco. “Cinque dei dispositivi esaminati non permettono di sincronizzare i dati con un servizio online – spiega Conti -. Purtroppo però, i produttori di questi dispositivi memorizzano i dati personali degli utenti in chiaro,ovvero senza cifrarli, e quindi accessibili da chiunque, incluso lo smartphone con il quale sono connessi; questo – conclude Conti – introduce un ulteriore rischio potenziale di furto di dati nel caso lo smartphone venga rubato o infettato da malware”.