São Paulo, Brasil – Os relógios inteligentes, dispositivos de monitoramento de atividade física e outros tipos de wearables, estão se tornando quase tão comuns quanto celulares e tablets. Esses gadgets conectados monitoram a saúde, permitem visualizar e-mails, controlar dispositivos inteligentes e realizar pagamentos. São uma extensão do que se conhece como dispositivo de internet das coisas (da sigla em inglês, IoT) que tentam transformar a rotina mais saudável e cômoda ao reduzir o tempo de exposição à tela dos celulares.
Em São Paulo, os wearables entraram oficialmente no cenário da saúde: a Samsung firmou parceria com o InCor (Instituto do Coração do Hospital das Clínicas da Faculdade de Medicina da Universidade de São Paulo), em um projeto que permitirá o monitoramento de pacientes recém operados ou que estão esperando para fazer cirurgias cardíacas por meio de um smartwatch produzido pela marca.
As novas tecnologias presentes no dispositivo vestível possibilitarão a visualização da saturação de oxigênio, detecção de batimentos cardíacos irregulares, monitoramento de pressão arterial, padrão de sono, eletrocardiograma e até mesmo bioimpedância. Os dados coletados pelo smartwatch serão analisados por profissionais de equipes médicas e de tecnologia do Instituto do Coração, através de um aplicativo e plataforma de alta segurança desenvolvidos pela Samsung no Brasil.
A expectativa é que esse mercado tenha um crescimento anual de 12,5% nos próximos anos, superando 118 bilhões de dólares em 2028. No entanto, enquanto os wearables fazem parte da vida cotidiana, eles também coletam dados e se conectam a um número crescente de outros sistemas inteligentes. Por isso, a ESET, companhia líder em detecção proativa de ameaças, analisa os possíveis riscos de segurança e privacidade que se pode encontrar nesta tecnologia.
“Os cibercriminosos têm diversas formas de monetizar os ataques aos wearables inteligentes e ao ecossistema relacionado de aplicativos e software. Eles podem interceptar e manipular dados e senhas e desbloquear dispositivos perdidos ou roubados. Também existem possíveis preocupações de privacidade sobre a troca secreta de dados pessoais com terceiros”, comenta Camilo Gutiérrez Amaya, Chefe do Laboratório de Investigação da ESET América Latina.
As principais preocupações a respeito da segurança e privacidade, segundo a ESET, são:
- Roubo e manipulação de dados: alguns relógios inteligentes com mais funções proporcionam acesso sincronizado aos aplicativos dos smartphones, como o e-mail e aplicativos de conversa. Isso pode fazer com que hackers tentem interceptar dados pessoais e confidenciais dos usuários. Outro aspecto igualmente preocupante é o local de armazenamento da maioria desses dados. Se não estiver devidamente protegido, o provedor pode ser alvo de criminosos que roubam informações. Existe um mercado clandestino muito próspero para certos tipos de dados pessoais e financeiros.
- Ameaças baseadas na localização: outro tipo de dados-chave registrados pela maioria dos wearables, se relaciona com a localização. Com essa informação, os cibercriminosos podem construir um perfil preciso de seus movimentos ao decorrer do dia. Isso permite ataques físicos ao usuário, roubo de automóveis e casas se, por exemplo, tem a informação de que estão vazios. Existem preocupações ainda maiores sobre a segurança de crianças que usam esses dispositivos, se estão sendo rastreadas por terceiros não autorizados.
- Empresas terceirizadas: os usuários não devem apenas ficar alertas apenas para riscos de segurança. Os dados que são coletados nos dispositivos podem ser extremamente valiosos para anunciantes. Existe uma demanda importante por esses dados em certos mercados. Um relatório da Juniper Research apontou que a renda obtida a partir das informações vendidas para fabricantes de dispositivos de saúde e seguradoras pode chegar aos 855 milhões de dólares em 2023. Algumas dessas empresas podem, inclusive, utilizar dados para criar perfis publicitários dos usuários e vendê-los. Se essas informações são armazenadas por várias outras empresas, o risco de uma possível brecha é ainda maior.
- Destrancar casa inteligente: alguns wearables podem ser utilizados para controlar dispositivos IoT de casas inteligentes, inclusive podendo ser configurados para destrancar a porta da casa. Isso representa um risco de segurança importante, no caso de perda ou roubo desses acessórios, principalmente se a configuração antirroubo não estiver habilitada.
Além disso, segundo a ESET, existem diversos elementos que fazem parte dos dispositivos que são passíveis de ataques se a segurança e a privacidade não foram adequadamente consideradas pelo fabricante. Desde o firmware do dispositivo até os protocolos usados para conectividade, aplicativos e servidores backend na nuvem. Estes são alguns exemplos:
- Bluetooth: Bluetooth Low Energy geralmente é utilizado para emparelhar dispositivos portáteis ao smartphone. No entanto, foram descobertas diversas vulnerabilidades em seu protocolo ao decorrer dos anos, que poderiam permitir que invasores próximos bloqueiem dispositivos, espionem ou manipulem seus dados.
- Dispositivos: muitas vezes o software no próprio dispositivo é vulnerável a ataques externos devido ao baixo desenvolvimento. Até mesmo um smartwatch bem projetado é construído por humanos e, portanto, pode conter erros no código. Isso também pode levar a vazamentos que comprometem privacidade, perda de dados e muito mais. Autenticação/criptografia fraca em wearables pode significar ameaças de sequestros de dados e escutas inadequadas. Além disso, os usuários também devem estar atentos à espionagem de visualização de mensagens/dados confidenciais em seus dispositivos portáteis em locais públicos.
- Aplicativos: os aplicativos para smartphones vinculados aos wearables são outra via de ataque, pois podem ter sido programados de forma errônea e passíveis de vulnerabilidades de dados e da exposição do próprio dispositivo. Outro risco é que os aplicativos, ou até mesmo os próprios usuários, são descuidados com as informações quando, por exemplo, baixam aplicativos falsos com designs parecidos com os legítimos, tendo dessa forma, seus dados pessoais roubados.
- Servidores back-end: os provedores de sistemas baseados em nuvem podem armazenar informações do dispositivo, incluindo dados de localização e outros detalhes. Isso representa um alvo atraente para os criminosos. Não há muito que possa ser feito sobre isso, além de escolher um provedor com um bom registro de segurança.
"As preocupações em torno dos wearables persistem até hoje, com pesquisas mostrando dispositivos suscetíveis a adulterações que podem até causar sofrimento físico ao usuário. Outro estudo alegou que os cibercriminosos poderiam alterar senhas, fazer chamadas, enviar mensagens de texto e acessar câmeras de dispositivos projetados para monitorar idosos e crianças. À medida que os wearables se tornam uma parte cada vez mais importante de nossas vidas, eles se tornarão um alvo maior para os criminosos. Pesquisar antes de comprar e desligar o maior número possível de vias de ataque quando o dispositivo é lançado, é fundamental para a proteção", acrescenta Camilo Gutierrez.
Para minimizar os riscos, a ESET recomenda:
● Ativar a autenticação de dois fatores
● Proteger as telas de bloqueio com senha
● Alterar configurações para evitar qualquer emparelhamento não autorizado
● Só visitar lojas de aplicativos legítimas
● Manter todos os softwares atualizados
● Nunca fazer jailbreak/root de dispositivos
● Limitar as permissões do aplicativo
● Ter uma solução de segurança instalada no dispositivo
● Escolher marcas com boa reputação
● Examinar de perto as configurações de privacidade e segurança para garantir que elas estejam configuradas corretamente
Você também pode proteger sua casa inteligente com as seguintes ações:
● Não sincronize dispositivos portáteis com a porta da casa
● Mantenha dispositivos na rede Wi-Fi convidada
● Atualize todos os dispositivos para o firmware mais recente
● Certifique-se de modificar todas as senhas padrão de fábrica que vêm em dispositivos
Para saber mais sobre segurança da informação, visite o portal de notícias ESET: https://www.welivesecurity.com/br/
Por outro lado, o ESET convida você a conhecer o Conexão Segura, seu podcast para saber o que está acontecendo no mundo da cibersegurança. Para ouvi-lo, acesse: https://open.spotify.com/show/61ScjrHNAs7fAYrDfw813J?si=242e542c107341a7&nd=1