Носить нельзя снять: доверять ли личные данные носимым устройствам IoT?
Раннее утро. Умные часы вибрируют и вы просыпаетесь, но не чувствуете себя отдохнувшим. На циферблате отображается график стадий сна: мало глубокого сна прошлой ночью — возможно, причина в этом. Вы одеваетесь и застёгиваете умный пояс — датчики в его пряжке отслеживают окружность вашей талии и помогают вам следить за тем, чтобы не съесть лишнего. Перед выходом на улицу вы проверяете, хорошо ли заряжены ваши «умные» кроссовки — они зашнуровываются сами, как только вы их надеваете. У вас на руке два умных кольца: с помощью одного вы закрываете дверь с поддержкой NFC, а с помощью другого оплачиваете эспрессо в ближайшей кофейне. Но согреться не получается. Наверное, дело в давлении, думаете вы, и снова обращаетесь к умным часам: они подтверждают, что давление у вас в самом деле пониженное. «Еще один эспрессо, пожалуйста». Вам всё ещё зябко, но вы знаете, что это ненадолго: ваша «умная» куртка, подключённая к голосовому помощнику Alexa, почувствовала ваш дискомфорт и уже готовится поднять температуру.
Мы не заимствовали эту сценку из последнего эпизода «Чёрного зеркала». Все эти умные устройства уже вышли на рынок — некоторые производятся серийно, а другие только дебютируют на сцене интернета вещей (IoT).
Кажется, что у каждого предмета появился «умный» двойник. Рынок IoT переживает бум: только в 2022 году ожидается его рост на 18%, а к 2025 году, по оценкам, нас будут окружать 27 миллиардов IoT-устройств. Каждое будет оснащено встроенными датчиками, сложным программным обеспечением и другими технологиями. С их помощью умные устройства будут собирать всё больше точных данных о местоположении, здоровье и прочих аспектах жизни человека и передавать их в режиме реального времени другим подключённым к интернету устройствам, а также отправлять их на удалённые сервера.
Для одних носимая техника — это разрекламированные дорогие игрушки: ненадёжные, небезопасные и часто ломающиеся. Другие уже не представляют жизнь без умных часов и колец. В самом деле, умные устройства могут сделать жизнь проще и удобнее, но какой ценой?
Игрушка для одних, жизненная необходимость для других
Любители гаджетов покупают носимые устройства из любопытства и профессионального интереса. Фанаты фитнеса доверяют их способности отслеживать шаги, расстояние и потраченные калории. Что касается пользователей, которые страдают от хронических болезней, то при помощи умных устройств они становятся самостоятельнее, а значит, меньше зависят от родственников или регулярных и дорогостоящих визитов к врачу.
Умный ремень может не только измерять талию, но и предсказывать падение. С помощью GPS-стельки можно следить за перемещениями пациентов с болезнью Альцгеймера. Умные часы могут отслеживать не только шаги, но и уровень сахара в крови. Они делятся данными наблюдений с семьёй или врачом в режиме реального времени, чтобы те пришли на помощь, если сахар упадёт слишком низко. Умные дефибрилляторы в виде жилетов могут автоматически подавать шоковый разряд, если обнаружат опасный для жизни сердечный ритм. Умный браслет для слабовидящих посылает пользователю тактильные вибрации разной силы и таким образом предупреждает о близости к объектам.
Не будет преувеличением сказать, что умные устройства уже спасают жизни. Так, часы Apple Watch спасли жизнь велосипедисту, который упал ночью, ударился головой и потерял сознание. Часы самостоятельно позвонили в службу спасения и отправили спасателям точные координаты пострадавшего. В другом случае мужчина почувствовал боль в груди и сделал ЭКГ при помощи приложения на умных часах. Часы показали, что 99,9% его артерий были заблокированы, что сподвигло мужчину обратиться к врачу. В другом случае часы сообщили женщине о необычно высоком пульсе — она перенесла сердечный приступ «на ногах».
Мало сомнений в том, что функций у IoT-устройств станет больше по мере того, как сенсоры станут совершеннее. Например, Apple хочет заставить умные часы предсказывать приступы астмы. Группа швейцарских студентов разработала бюстгальтер, который может обнаружить ранние признаки рака груди. Компания Under Armour хочет запатентовать кроссовки, которые могли бы измерять давление. Кажется, что предела тому, на что способны умные носимые устройства, нет.
Путь от технологической диковинки к модному аксессуару
В условиях бурного роста рынка IoT — по прогнозам, он будет расти в среднем на 17,8% в год и достигнет 280 млрд долларов к 2030 году — smart tech стал бороться за внимание не только тех, кто одержим техникой или здоровьем, но и рядовых пользователей. Другими словами, произведя революцию в здравоохранении, носимые умные устройства взялись за индустрию моды.
С момента появления первого носимого IoT-устройства — громоздкой беспроводной веб-камеры в 1994 году, которая передавала картинку в интернет с помощью антенны — взаимосвязанные устройства прошли долгий путь в плане дизайна.
Levi's совместно с Google разрабатывает джинсовую куртку, с помощью которой можно отвечать на звонки и проигрывать музыку; Apple Watch сотрудничает с Hermes и Nike; Samsung Galaxy Watch работает с люксовым брендом Thom Browne. Такие знаменитости, как Ким Кардашьян и Гвинет Пэлтроу, демонстрируют «умные» кольца многомиллионной аудитории Instagram.
Умные устройства из разряда технологических диковинок перешли в разряд мейнстрима. С каждым годом они становятся доступнее и проникают в новые сферы жизни. На производство: «умные» каски отследят температуру головы и пульс рабочего, измерят влажность и температуру на объекте и предотвратят тепловой удар. В сферу спорта: умная капа передаст информацию о возможном сотрясении у игрока тренеру во время матча. В работу полиции: умные очки подключатся к полицейским базам и идентифицируют подозреваемого. В сферу страхования жизни: некоторые страховые компании предоставляют клиентам умные часы бесплатно или со скидкой при условии, что они достигают целей активности.
Это далеко не полный перечень того, на что способны взаимосвязанные носимые устройства. Потенциал для их применения безграничен, и, рано или поздно, они станут постоянным спутником нашей жизни. Если такое будущее неизбежно, то нас тем более должно волновать, как эти устройства используют и обрабатывают наши данные. И здесь технологическая сказка сталкивается с суровой реальностью.
Умные устройства склонны к ложным срабатываниям
Несмотря на прогресс в сенсорной науке и инженерии, технология, лежащая в основе «умных» устройств, несовершенна. Они склонны к ложным срабатываниям. На первый взгляд это не кажется большой проблемой, но это не так. Помимо того, что ложные срабатывания заставляют пользователей переживать по поводу несуществующих проблем со здоровьем, они создают дополнительную нагрузку на ограниченные ресурсы здравоохранения.
Недавнее исследование показало, что только 11,4% из 264 человек, которые обратились к врачу по поводу «аномальных» показателей пульса от Apple Watch, ушли с новым диагнозом. В некоторых из случаев пациенты пришли на приём только после того, как получили уведомление от часов с недвусмысленной рекомендацией обратиться к врачу.
Опасность также в том, что пользователи будут использовать носимые устройства для самодиагностики вместо того, чтобы проконсультироваться с медиком. Всегда существует риск того, что smart tech заменит доктора Google.
Ложные срабатывания также отвлекают ресурсы полиции от серьёзных происшествий. В 2019 году в службу спасения на горнолыжным курорте в штате Колорадо поступили десятки ложных вызовов от умных часов Apple. В это время владельцы умных гаджетов спокойно продолжали учиться кататься и закладывать виражи на склонах.
Есть много свидетельств того, что умные часы ошибаются. В СМИ сообщалось, что часы могут принять удар рукой по столу и хлопанье в ладоши за падение.
Разработчики пытаются найти золотую середину между восприимчивостью устройств и их точностью. Точность будет повышаться по мере роста кодовой базы, но рост кодовой базы может привести к увеличению количества ошибок в коде и, следовательно, уязвимостей. Объем собираемых данных также будет расти. Поэтому, хотя проблему ложных срабатываний со временем, возможно, устранят, проблема безопасности и конфиденциальности будет только усугубляться.
Безопасность данных не в приоритете
В 2018 году приложение для фитнеса Strava непреднамеренно раскрыло расположение секретных военных баз США, в том числе в Афганистане и Сирии. Эксперты заметили очертания ранее неизвестных военных объектов на карте из геолокационных данных пользователей Strava. Предположительно, солдаты включали фитнес-трекер во время пробежки. Вряд ли они знали, куда попадут эти данные и кто их увидит.
Если даже военные были не в курсе, что происходит с их данными, то чего можно ожидать от рядовых пользователей?
В некоторых странах за пользователей всё решили чиновники. В 2017 году Германия запретила продавать детские умные часы с функцией отслеживания местоположения и посоветовала родителям избавиться от старых устройств. Два года спустя выяснилось, что один популярный бренд детских умных часов хранил данные 5 000 детей из разных стран на незашифрованных серверах в Китае. Эти данные включали в себя изображения, голосовые сообщения, имена и адреса детей.
Можно задаться вопросом, почему вообще такие проблемы возникают раз за разом. Частично виноваты компании, которые безответственно относятся к данным пользователей. Но корень проблемы в том, что носимые IoT-устройства небезопасны по своей сути.
Мы подробно остановились на смарт-часах, так как вместе со смарт-браслетами они остаются самыми популярными умными носимыми устройствами и занимают половину рынка IoT. И те, и другие могут синхронизироваться со смартфоном, но у умных часов больше функций, а значит, им требуется больше данных. Чем больше данных получает умное устройство, тем выше риски для пользователя.
Причина в том, что, как мы уже говорили, для более сложных функций требуется большая кодовая база, а чем шире кодовая база, тем больше пространства для ошибок, что, в свою очередь, ведёт к увеличению числа уязвимостей. Итог: чем больше данных обрабатывает ваше интеллектуальное устройство, тем больше вероятность того, что эти данные будут скомпрометированы в результате пропущенной уязвимости в его раздутой кодовой базе. Значимость утечки также возрастает с увеличением функциональности: чем больше данных обрабатывается, тем больше данных может утечь в сеть.
Небезопасны по своей сути
Носимые устройства собирают данные с помощью датчиков и хранят их локально перед тем, как отправить в приложение. Чтобы непрерывно отслеживать показатели здоровья пользователя, им требуется большая вычислительная мощность. Но в то же время они должны быть небольшого размера и способны длительное время работать без подзарядки. Чтобы компенсировать недостаток в вычислительной мощности, большинство умных носимых устройств передают данные на подключённый к интернету шлюз (смартфон, планшет или ПК). Это «материнское устройство» служит временным хранилищем, из которого данные затем передаются в облако.
Таким образом, телефон служит промежуточной остановкой, через которую проходят данные на пути к постоянному хранилищу. Умные устройства используют три типа беспроводного соединения для передачи данных: связь в близком поле (Near field communication, NFC), Bluetooth и Wi-Fi. В большинстве случаев трафик устройств IoT незашифрован. Это означает, что злоумышленники могут «слушать» трафик и без труда перехватывать конфиденциальные данные пользователей. Также злоумышленники могут заставить носимое устройство передавать данные на поддельное «материнское устройство», находящееся под их контролем.
Носимые устройства также передают приложениям большое количество личных данных пользователей, в том числе об их передвижениях. Приложения могут передавать эти данные третьим лицам, которые, в свою очередь, могут использовать их для настройки таргетированной рекламы. Согласно отчету Juniper Research за 2019 год, ожидается, что к 2023 году производители носимых умных устройств заработают 855 миллионов долларов за счёт продажи данных страховым компаниям.
Непредвиденные последствия
Технологические компании придумывают креативные способы сделать нашу жизнь проще... или сложнее. В прошлом году компания Apple выпустила трекер в форме монеты под названием AirTag. Его можно прикрепить к любой вещи, например, к связке ключей или рюкзаку. Если пользователь теряет вещь с AirTag, он помечает её как утерянную в приложении, которое запускает процесс поиска. AirTag пингует все ближайшие устройства Apple с поддержкой Bluetooth, компания определяет его местоположение и указывает его на карте.
Однако хорошая задумка привела к не очень хорошим последствиям. Злоумышленники стали использовать маячок Apple для негласного наблюдения. Десятки женщин подали заявления в полицию США, в которых упоминается AirTag. Жертвам приходили уведомления на телефон, что за ними следит неизвестный AirTag, и в половине случаев трекером воспользовались их бывшие.
Сигналы Bluetooth, которые исходят от смарт-часов и других умных устройств, сами по себе можно отследить и идентифицировать. Во-первых, у каждого Bluetooth-устройства есть уникальный адрес, который иногда называют MAC-адресом Bluetooth. Во-вторых, идентифицировать человека можно и по его уникальному «Bluetooth-отпечатку», в основе которого лежат дефекты в аппаратуре Bluetooth. То же самое относится и к Wi-Fi.
Еще одна большая проблема с носимыми устройствами IoT — это шифрование данных, а точнее, его периодическое отсутствие. В результате могут быть скомпрометированы не только личные данные владельца устройства, но и его здоровье. В 2020 году исследователи обнаружили уязвимость в программном обеспечении пояса верности с поддержкой Bluetooth. Следствием этой уязвимости стал короткий период времени, когда пользователи не могли разблокировать свои пояса с помощью приложения. Злоумышленники могли использовать уязвимость для доступа к личной информации пользователей, включая точное местоположение, пароли и адреса электронной почты — это данные хранились в незашифрованном виде в базе данных компании.
Уязвимости в веб-приложениях и программном обеспечении могут пробраться и в умную одежду. Это может привести к тому, что ваша «умная» куртка выйдет из строя и перестанет нагреваться или, что ещё хуже, нагреется слишком сильно. Если производитель прекратит поддержку устройства, то его могут взломать. Идея погибнуть от рук (а точнее рукавов) умной куртки может показаться сценарием низкопробного фильма ужасов, но она ближе к реальности, чем мы думаем.
Индустрия носимых IoT-устройств только зарождается. Она многое обещает и уже многое делает, но перед ней стоит непростая задача — избавиться от присущих самой технологии пробелов в вопросах безопасности. А поскольку умные устройства собирают очень чувствительные персональные данные в больших количествах, то чем скорее эти пробелы ликвидируют, тем лучше.
Как защитить свои данные
Производители стремятся встроить как можно больше функций в умные гаджеты, в то время как вопросы конфиденциальности и защиты данных отходят на второй план. Рынок IoT стремительно растёт, поэтому понятно желание компаний занять свою нишу, пока это ещё возможно.
В результате пользователи вынуждены сами заботиться о безопасности своих данных. Вот несколько правил, которых следует придерживаться при покупке и использовании умных носимых устройств:
-
Покупайте устройства только у производителей с хорошей репутацией: лидеры рынка вряд ли будут хранить вашу личную информацию в незашифрованном виде. Также убедитесь, что компания в прошлом не допускала утечки пользовательских данных и своевременно выпускает обновления и исправления (патчи) для всех поддерживаемых устройств
-
Устанавливайте приложения из официальных магазинов приложений (App Store, Google Play или AppGallery) и не загружайте на своё устройство приложения из малоизвестных источников
-
Поставьте запрет на подключение к вашему носимому устройству «левых» гаджетов с поддержкой Bluetooth
-
Смените заводской пароль, если возможно
-
Своевременно обновляйте приложения и ПО устройства
-
Включите двухфакторную аутентификацию на телефоне (или другом сопряжённом устройстве) и для входа в аккаунт