La pericolosità dei fitness trackers

L’Internet of Things sta vivendo una rapida evoluzione nell’industria del fitness. Grazie allo sviluppo e all’innovazione del cosiddetto Sport 4.0, gli atleti e le organizzazioni sportive stanno esplorando l’uso di dispositivi portatili connessi in rete durante le competizioni e le sessioni di allenamento.

Tra i dispositivi più comuni ci sono gli smartwatch, che contano i passi, migliorano la qualità del sonno e analizzano la frequenza cardiaca per stabilire la durata e la qualità del sonno profondo e leggero, fornendo così dati di allenamento.

Esistono anche apparecchiature più avanzate, come occhiali con display per leggere i dati di velocità e distanza, scarpe con sensori e tecnologie indossabili dotate di ogni genere di rilevatore. Questi dispositivi sono utilizzati sia da atleti professionisti che da sportivi amatoriali.

Ciò ha creato un nuovo mondo, che sta spingendo le aziende a sviluppare tecnologie all’avanguardia, che soddisfino gli standard di comfort, stile, moda, resistenza e prestazioni, e non si limitino solo a trasmettere dati e informazioni.

La grande quantità di dati raccolti sta anche migliorando la capacità degli atleti di analizzare le proprie prestazioni e le strategie di coaching utilizzate da squadre e allenatori.

Differenti modelli di utilizzo

Il mercato propone una grande varietà di tecnologie indossabili e tracker. Questi dispositivi, che differiscono per caratteristiche, funzioni e scopi, misurano tutti diversi aspetti della forma fisica, come ad esempio le calorie bruciate, la frequenza cardiaca, il numero di passi effettuati, la distanza percorsa, i modelli di sonno.

Tuttavia, ciò che contraddistingue i dispositivi indossabili per il fitness più moderni, è l’integrazione in rete, che consente di condividere i dati da remoto e di trasmettere rapidamente qualsiasi informazione sui social network. Questa caratteristica li distingue dai dispositivi comparabili che venivano impiegati alcuni anni fa.

Dispositivi utilizzati nel settore del fitness:

Gli smartwatch e gli sportwatch sono orologi intelligenti progettati principalmente per le attività all’aperto e gli sport estremi, ma hanno anche la capacità di registrare e analizzare i dati relativi alle attività sportive e alle sessioni di allenamento. Gli utenti possono inserire i propri dati e confrontarli con quelli di altri atleti in tempo reale, tramite applicazioni, portali Internet e social network.

Tuttavia, i sensori di questi gadget potrebbero non essere sempre abbastanza precisi da fornire informazioni totalmente accurate. Inoltre, l’utilizzo di dati particolarmente sensibili, come le condizioni di salute di una persona, potrebbe sollevare problemi di privacy e sicurezza se tali informazioni fossero rese pubbliche.

I braccialetti per il fitness, anche noti come fitness tracker, sono una categoria di gadget che ha registrato una significativa crescita delle vendite negli ultimi anni. Indossati al polso, questi dispositivi misurano automaticamente il numero di passi o chilometri percorsi, la frequenza cardiaca e una varietà di altri dati sanitari cruciali.

Un esempio di cosa può accadere

I dati dei gadget indossabili per il fitness sono spesso accessibili tramite i siti web dei fornitori e tramite le app. Inoltre, alcuni dispositivi hanno connessioni a terze app, aumentando la superficie di attacco e i pericoli, considerando la sensibilità dei dati raccolti. 

Una violazione della sicurezza riguardante tali dispositivi, si verificò nel 2018 e riguardò MyFitnessPal. Si tratta di una piattaforma che permette di monitorare routine alimentare ed esercizio fisico, integrandosi con vari dispositivi indossabili, come Fitbit, Garmin e Polar.

Nel febbraio 2018, un attacco informatico permise a sconosciuti di accedere ai dati degli utenti del sito, tra cui nomi, indirizzi e-mail e password (protette in gran parte con bcrypt). La violazione interessò oltre 150 milioni di account, con un forte impatto sul prezzo delle azioni di Under Armour, proprietaria di MyFitnessPal. 

Dopo la violazione, Under Armour informò gli utenti via e-mail e tramite l’app, invitandoli a prendere le misure necessarie per proteggere i propri dati.

I dati sottratti furono successivamente messi in vendita sul dark web.

I rischi ci sono

La valutazione dei rischi associati ai wearables per il fitness non può essere limitata solo ai dati raccolti dai dispositivi stessi, ma deve considerare l’intero perimetro in cui questi dati circolano. Ciò comprende i canali di comunicazione, i sistemi di archiviazione, le app e i siti Web che forniscono l’accesso alle informazioni.

Inoltre, la quantità, la natura e il tipo di utenti che utilizzano questi dispositivi, insieme al tipo di dati che vengono acquisiti, hanno un’influenza significativa sulla privacy e sulle difese da adottare. Ad esempio, i dati sulla posizione e sui percorsi potrebbero essere utilizzati da stalker, oppure per commettere furti presso le abitazioni degli utenti.

I dati relativi alla salute o all’attività fisica sono altamente sensibili e potrebbero essere appetibili per diversi soggetti.

Esaminando i rischi più comuni, associati alle attrezzature per il fitness, si possono identificare diverse problematiche, tra cui: 

• Rischi derivanti dall’uso di app per la comunicazione e protocolli Wi-Fi e Bluetooth. Alcuni studi hanno dimostrato che, nonostante la maggior parte dei dispositivi utilizzi sistemi di crittografia corretti, alcuni possono trasmettere dati in chiaro o consentire l’accoppiamento senza alcun controllo efficace.
• Rischi legati alle app stesse, in particolare alla loro integrazione con app e servizi di terzi o all’inclusione di moduli per la pubblicità di fornitori esterni.
• Rischi relativi alle credenziali di autenticazione degli account. Spesso è semplice, per un malintenzionato, rubare i dati di un singolo utente, a causa della pratica comune di utilizzare la medesima password per diversi account, o di utilizzare password deboli.
• Rischi connessi alla condivisione di informazioni sulla posizione attraverso piattaforme collegate ai dispositivi.
• Pericoli associati alla raccolta di dati che superano le finalità previste e alla divulgazione non giustificata di informazioni a terzi.

Negli ultimi anni, alcune app collegate ai fitness tracker, hanno permesso di individuare l’ubicazione di basi militari o la presenza di soggetti in aree critiche, diffondendo i dati di localizzazione di chi le utilizza.

Molte informazioni sul trattamento dei dati personali sono incomplete o poco chiare, e spesso non rispettano i dettami del Regolamento Europeo GDPR. Inoltre, l’assenza di richieste di consenso che siano libere, esplicite, informate e inequivocabili, rende difficile per gli utenti comprendere quali informazioni vengono raccolte, archiviate e condivise con terze parti. Ad esempio, alcune compagnie assicurative offrono sconti per l’utilizzo di dispositivi per il fitness al momento dell’acquisto di polizze, dimostrando quanto queste informazioni possano essere utili in una varietà di settori.

Contromisure applicabili

Il rapporto “Baseline Security Recommendations for IoT” dell’ENISA, presenta una serie di precauzioni e procedure consigliate per garantire la sicurezza informatica nell’Internet delle cose, con particolare attenzione alle infrastrutture critiche, come edifici, reti, servizi, hardware e software. Lo scopo principale del rapporto è quello di fornire linee guida fondamentali per garantire la sicurezza informatica nell’IoT. Dall’analisi effettuata, emerge che i componenti principali dell’IoT sono i sensori e gli attuatori, che possono essere connessi al back-end cloud tramite gateway, al fine di elaborare i dati dei sensori e prendere decisioni. Il rapporto evidenzia, inoltre, che l’uso di meccanismi di sicurezza, come la crittografia dei dati e il controllo degli accessi, sono essenziali nell’IoT.

I sistemi integrati IoT includono anche un core di elaborazione che offre loro la possibilità di elaborare i dati in modo indipendente. Esempi di prodotti con sistemi embedded includono protesi mediche, dispositivi indossabili come smartwatch, illuminazione smart e termostati intelligenti.

Il rapporto ENISA prende in considerazioni fattori applicabili all’ambito dei wearables, poiché essi sono in grado di elaborare le informazioni, trasmetterle in Internet e condividerle.

Anche il rapporto “WG07 Report on Wearables” della Alliance for IoT and Edge Computing Innovation, esamina casi d’uso e criticità dei wearables.

Per un dispositivo indossabile, ad esempio, è necessario garantire quanto segue:

• Crittografia simmetrica, ad esempio AES, per garantire la riservatezza dei dati trasmessi
• Algoritmi hash per garantire l’integrità dei dati
• Convalida tra i nodi prima di stabilire connessioni
• Verifica delle autorizzazioni necessarie per eseguire comandi
• Non disconoscibilità della comunicazione

La sicurezza è un aspetto fondamentale in tutte le fasi del ciclo di vita di un prodotto IoT. Queste includono la progettazione, lo sviluppo, i test, la produzione, la distribuzione, la manutenzione. Per garantire un livello adeguato di sicurezza in ciascuna di queste fasi, è fondamentale stabilire processi specifici e mirati. Inoltre, è importante assicurarsi che le procedure siano eseguite correttamente.

L’importanza degli aggiornamenti di sicurezza e della clausola End Of Support

Gli aggiornamenti di sicurezza rappresentano un aspetto cruciale da considerare. Una delle principali sfide riguarda la distribuzione degli aggiornamenti stessi, che dovrebbero essere resi disponibili ogni volta che è fisicamente fattibile, senza causare ulteriori costi o richiedere conoscenze specifiche da parte degli utenti finali. Inoltre, il termine del supporto deve essere definito dal produttore in modo chiaro, e adeguatamente comunicato al cliente, in modo in modo che questi sia informato.

Molti dispositivi continuano ad essere utilizzati anche quando la casa madre non rilascia più aggiornamenti e ciò non fa che aumentare concretamente il rischio di subire attacchi.