Pulseiras fitness vazam dados de usuários, aponta estudo

PC World / EUA
02 de fevereiro de 2016 - 16h44
Segundo levantamento, smartwatch da Apple foi o único modelo que evitou rastreamento e protegeu app.

Algumas das pulseiras fitness mais populares do mercado não apenas permitem que você rastreie sua saúde, elas permitem que você seja rastreado. Pelo menos é isso o que afirmam pesquisadores canadenses que estudaram aparelhos fitness de oito fabricantes, juntamente com seus apps móveis.

Com exceção do Apple Watch, todos os aparelhos estudados transmitiam um identificador Bluetooth único e persistente, permitindo que fossem rastreados pelos beacons cada vez mais usados por lojas de varejos e shoppings para reconhecer e identificar seus clientes.

De acordo com os pesquisadores, os aparelhos Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone Up 2, Mio Fuse, Withings Pulse O2 e Xiaomi Mi Band, permitem que seus usuários sejam rastreados usando Bluetooth, mesmo quando o aparelho em questão não está “pareado” ou conectado com um smartphone. O Apple Watch era o único a usar um recurso do padrão Bluetooth LE para gerar endereços MAC que mudavam para evitar o rastreamento.

Além disso, os aplicativos acompanhantes dos wearables vazaram credenciais de login, transmitiram informações de atividades, ou permitiam que fossem submetidas dados falsos de atividades, segundo uma versão inicial do relatório, chamado de “Every Step you Fake: A Comparative Analysis of Fitness Tracker Privacy and Security – publicado pela ONG canadense Open Effect, e com ajuda do Citzen Lab, da Universidade de Toronto.

Os aplicativos costumam ser usados para reunir dados do aparelhos fitness e enviá-los para um servidor central, onde os usuários podem analisar seu desempenho e talvez compará-lo com outros amigos.

Usando um ataque do tipo “man-in-the-middle”, os pesquisadores conseguiram espionar o tráfego entre os apps e os servidores, com exceção de dois apps: Apple Watch 2.1 e Intel Basis Peak 1.14.0. Para os seis apps restantes, isso permitiu que os pesquisadores visualizassem até mesmo dados criptografados enviados via HTTPS.

Os autores do estudo ainda estão trabalhando nas partes do relatório que lidam com implicações políticas, mas notaram que o peso das falhas de segurança depende da jurisdição onde os wearables são usados. Apesar de não serem considerados aparelhos médicos, os dados que eles geram são considerados informações pessoais pela lei europeia de proteção de dados.