Open Effect: многие фитнес-трекеры допускают утечки данных
Даже если владелец отключил синхронизацию трекера со своим смартфоном по каналу Bluetooth, большинство изученных трекеров продолжает передавать идентифицирующие их сигналы, а сканеры, установленные, например, в торговом центре, могут следить за перемещениями владельца.
Канадская некоммерческая организация Open Effect по заказу уполномоченного по вопросам неприкосновенности частной жизни в Канаде и при участии специалистов из Торонтского университета изучила надежность защиты личных данных в популярных фитнес-трекерах Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone Up 2, Mio Fuse, Withings Pulse O2, Xiaomi Mi Band, а также в часах Apple Watch. Большинство из них, как выяснилось, допускает перехват некоторых данных, передаваемых через Интернет, а также слежение за устройством с помощью сканеров Bluetooth.
Все изученные устройства, за исключением Apple Watch, не меняют MAC-адреса интерфейсов Bluetooth. Даже если владелец отключил синхронизацию трекера со своим смартфоном по каналу Bluetooth, трекеры продолжают передавать идентифицирующие их сигналы, а сканеры, установленные, например, в торговом центре, могут следить за перемещениями владельца.
Мобильные приложения для связи трекеров с серверами тоже допускают утечки, несмотря на применение протокола с шифрованием данных HTTPS. Приложение Garmin Connect использует HTTPS только для передачи паролей (остальные данные могут быть перехвачены), а Withings Health Mate в одной из функций допускает перехват идентификатора сессии. Наконец, исследователи показали, что и сами пользователи приложений Jawbone UP и Withings Health Mate могут подделать данные фитнес-трекеров.
