Bezpieczna bransoletka?

Artykuł

Jakiś czas temu sprawdzałam, jak nosidła (ang. wearables) radzą sobie z ochroną prywatności. Informacje, które udało mi się znaleźć, nie były zachęcające. Postanowiłam dać nosidłom kolejną szansę i przekonać się, czy z bezpieczeństwem zbieranych danych jest lepiej niż z jasnością warunków wykorzystywania takich urządzeń i z przestrzeganiem przez producentów zasad ochrony danych osobowych.

Nosidła monitorujące aktywność fizyczną stają się coraz popularniejsze. Wiele osób nawet nie zastanawia się, w jaki sposób informacje z bransoletki trafiają do aplikacji w telefonie ani czy dostęp do nich ma ktoś jeszcze. Przeprowadzone przez kanadyjską organizację pozarządową Open Effect badanie dotyczące bezpieczeństwa transmitowanych danych pokazuje, że większość tego typu urządzeń nie jest w dostateczny sposób zabezpieczona. Przeglądowi zostało poddane 8 nosideł oferowanych przez różne firmy: Apple Watch, Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, Mio Fuse, Withings Pulse O2 i Xiaomi Mi Band. W przypadku aż 7 z nich okazało się, że jeśli bransoletka nie została skonfigurowana z innym urządzeniem mobilnym (smartfonem, tabletem) i nie jest do niego podłączona, to można za jej pośrednictwem śledzić lokalizację użytkownika. A że tego typu urządzenia nosi się praktycznie cały czas, to stworzenie mapy miejsc, w których często przebywa użytkownik, jest całkiem łatwe.

Dane dotyczące aktywności fizycznej, np. puls, mogą być ciekawą informacją na temat stanu naszego zdrowia. Zapewne jest to łakomy kąsek dla firm ubezpieczeniowych. Już teraz tego typu podmioty chcą wykorzystywać np. informacje z portali społecznościowych do określania stawek ubezpieczenia. A dzięki nosidłom mogą zyskać doskonałe narzędzie do sprawdzania, czy ubezpieczony żyje zdrowo. Bardzo łatwo wyobrazić sobie taką propozycję: noś naszą bransoletkę (zbierającą o tobie mnóstwo danych, łącznie z lokalizacją), by potwierdzać, że żyjesz zdrowo, a my na tej podstawie określimy dla ciebie preferencyjne stawki ubezpieczenia. Przy tym sięgniemy po algorytm, o którym nie dowiesz się zbyt wiele, bo to tajemnica naszego przedsiębiorstwa.

Abstrahując od tego, czy firmy ubezpieczeniowe powinny wykorzystywać takie urządzenia i czy będziemy godzić się na tego typu praktyki, trzeba pamiętać, że część urządzeń podatna jest na manipulację. Można więc stworzyć fałszywe informacje o tym, ile kroków przeszliśmy, ile kalorii spaliliśmy itp. A to może rodzić potencjalne problemy nie tylko dla ubezpieczycieli, ale także dla uczciwych użytkowników, którzy przez porównanie otrzymają gorsze warunki świadczenia usług. W przyszłości mogą się pojawić pomysły, by wykorzystywać smart urządzenia nie tylko do śledzenia tego, czy ktoś dba o zdrowie, ale także do celów dowodowych, np. w postępowaniach sądowych. Dlatego warto mieć świadomość, że dane wyciągnięte z fitness trackera mogą być nieprawdziwe.

Słabości w zabezpieczeniach wykazują nie tylko same bransoletki i zegarki: również część aplikacji obsługujących nosidła okazuje się podatna na włamanie. Ktoś obcy może zatem uzyskać nieautoryzowany dostęp do danych użytkownika – poczytać co nieco o jego lub jej stanie zdrowia, przyzwyczajeniach i wyzwaniach, które podejmuje; zmieniać i usuwać zgromadzone dane.

Nosidła to jeden z przejawów Internetu rzeczy. Tak jak w przypadku innych tego typu urządzeń coraz częściej mierzyć będziemy się z konsekwencjami niedostatecznej dbałości o bezpieczeństwo. Jeśli nawet sami nie ucierpimy przez słabość zabezpieczeń zegarka lub bransoletki, to podłączając je do sieci, możemy umożliwiać ich wykorzystywanie jako botów w atakach DDoS.

Od wydania raportu z badania przeprowadzonego przez Kanadyjczyków minęło kilka miesięcy. Producenci smart bransoletek do śledzenia aktywności fizycznej mieli czas na poprawę zabezpieczeń. Mimo to nieszczególnie im dowierzam, dlatego większość dostępnych na rynku fitness trackerów otrzymuje u mnie kolejny minus. Z zakupem tego typu opaski poczekam, aż pod względem bezpieczeństwa staną się naprawdę „smart”.

Anna Walkowiak

Komentarze

Te urządzenia nigdy nie będą zapewniały prywatności, ani anonimowości, bo to nie jest w interesie firm, które te urządzenia tworzą. Dane mają być zbierane, sprzedawane i łatwo dostępne dla służb. Jeśli te informacje nie są powiązane z konkretnym człowiekiem to są nic nie warte. Taki jest cel tego wszystkiego. Najlepiej powstrzymać się całkowicie od używania tych urządzeń śledzących.

A jak przestać być śledzonym w pracy przez Windowsy 10? Kto u pracodawcy zgodził się na przesyłanie danych telemetrycznych, identyfikatora reklamowego itp. rzeczy łącznie z wprowadzonymi przez pracodawcę danymi osobowymi? Myślę, że "nosidła" są tu tylko czubkiem góry lodowej, bo póki co nie są niezbędne do życia.

Same nosidła zostaną prędzej użyte jako koparki BitCoinów, zaś ubezpieczyciel użyje kontaktów z Microsoftem by sprawdzić na co chorujesz. W końcu w MediCover, EnelMed i LuxMed używa się Windows 10, a te są wpychane przez pracodawców choćby w postaci badań okresowych i wstępnych.

Czytając opinie o tych 3 firmach mam wrażenie, że oni nie leczą pacjentów. Oni mogą te dane zbierać i chcąc-niechcąc przekazywać je dalej m.in. firmie Microsoft. Kiedy Państwo poruszą ten wątek? Bo w domu Windows 10 nie jest obowiązkowy? Zna ktoś pracodawcę, który go nie używa? Ile to procent w skali kraju?

Bardzo dobre pytanie... czy można pozwać do sądu np LuxMed, jeżeli moje dane o zdrowiu przetwarza na Windows 10?

Trudno powiedzieć, ale można wiele zrobić. Zawsze LuxMed może po odebraniu pozwu zdeinstalować windowsy 10 lub się wykpić i nie wpuścić sądu pod pozorem, że są przetwarzane tam wrażliwe dane. Będzie co prawda wtedy nakaz, ale zyskają czasu do wyczyszczenia tematu. Microdoft raczej nie będzie zainteresowany zeznawaniem przeciwko firmie która kupuje ich produkty. Jeszcze niedawno GIODO nie miał wstępu do placówek medycznych i do kościołów.

Co można zrobić? Między innymi pisać żale do GIODO, by działał tak jak we odpowiednik we Francji. Zapraszam do lektury: http://www.leoshell.com/kat/artykuly-o-prywatnosci.html

"Jeszcze niedawno GIODO nie miał wstępu do placówek medycznych i do kościołów."
Do kościołów i związków wyznaniowych to jestem w stanie zrozumieć, ale do placówek medycznych? Naprawdę nie miał do nich wstępu? Dlaczego?

chyba historyczne brzmienie tego artykułu, który odbierał możliwość kontroli dla GIODO. Art 43 ich ustawy. pamiętam, że nie tylko kościoły były wyłączone spod kontroli.

Jak długo
Jedyny sposób na śledzenie przez pracodawcę to pewnie podłączenie swojego pendriva/dysku z własnym systemem operacyjnym. Jeśli nie ma takiej możliwości to wtedy korzystanie z firmowego komputera tylko i wyłącznie do spraw służbowych.

Widzę Anon nie zrozumiałeś przesłania. Nawet gdy pracodawca Cię śledzi nie ma prawa tych danych wysyłać do USA. Robi to za niego ten Windows 10. Tu nie chodzi o działania pracodawców, tylko o to co się dzieje w sytuacji gdy pracodawca nie zdaje sobie sprawy co zrobił tym, że wprowadził do systemu Windows 10 dane osobowe pracownika. Nie on z tego korzysta lecz amerykanie.

Czasem po prostu jest tak, że ma w głębokim poważaniu to, że dane gdzieś wyciekną. Ale jest światełko w tunelu. Od kwietnia aktualizacja ma zabronić uruchamiania programów, które nie zostały zakupione w jedynym słusznym sklepie czyli Windows Store. To już raczej pracodawcom powinno dać w kość i albo zaczną piracić wcześniejsze wersje, albo przejdą na linuxa, Ci co nie używają specjalistycznego oprogramowania.

Dodam na koniec, że pracodawca ma prawo wiedzieć co robisz na jego komputerze, ale Microsoft tej wiedzy wraz z danymi pracownika mieć nie powinien.

Rozumiem. Z mojego doświadczenia więszkość ludzi nie ma pojęcia o inwigilacji MS w Windows 10. Tak jak mówisz jest to zagrożeniem dla prywatności pracownika ale też moim zdaniem zagrożenie dla poufnych danych firmy. Poza tym od dawna uważam, że więcej firm zamiast płacić olbrzymie pieniądze za licencje powinny używać Linuxa, który oprócz tego, że jest darmowy i jest open source często działa lepiej. Nie rozumiem dlaczego we wszystkich polskich urzędach jest Windows. Nie tak dawno widziałem nawet przypadki używania Windows XP i Windows Server 2003!

Z tego co wiem kochany Microsoft pomyślał też o użytkownikach swoich starszych systemów i niektóre "funkcje" Windowsa 10 dodał do nich w aktualizacjach. Odkąd się dowiedziałem nie ufam tej firmie i uważam jakiekolwiek ich oprogramowanie za niebezpieczne. Teraz używam tylko Linuxa. Jeśli MS faktycznie chce zrobić tak jak mówisz to jest to dość dziwna decyzja... Jeśli dzięki niej więcej ludzi zrezygnuje z ich systemu to dobrze, ale miliony ludzi którzy na nich polegają mogą mieć problem.

Powstaje więc pytanie - jak długo będziemy jeszcze inwigilowani w pracy, w służbie zdrowia, w bankowości - tam też są windowsy. Dlaczego w urzędach używają - tego nie wiem, ale używanie windowsów w rządzie Rosyjskim (!) już się skończyło, bo chcą chronić swoje dane i dane obywateli. Tak oczywiście, że rozwiązania technologiczne, w tym gotowe do patentów wyciekają i później się dziwić, że ktoś w USA opatentował rozwiązanie kilka dni lub tygodni wcześniej.

Tylko teraz pomyślmy o wszystkich tych programach potrzebnych w przedsiębiorstwach produkcyjnych (nie administracji): skąd wezmą na Linuxa i którą dystrybucję: Photoshopa, Corela, AutoCada, programy Comarchu, programy do prowadzenia Kadr? Libre Office i Thunderbird są dobrymi zastępczymi programami dla MS Office i Outlooka. Jednak te programy dla linuxa to niestety kropla w morzu. Wine jest do niczego praktycznie - zawsze wymaga dostosowywania co pojawi się nowy program.

Zastanawia mnie też dlaczego tak chętnie szukają programistów pod windowsa, a nie pod Linuxy? Dlaczego w wymaganiach SIWZ zawsze pojawia się, że aplikacja ma działać na Windowsie? Dlaczego nie ma wymagań, że ma chodzić na darmowym Linuxie? Skąd takie podejście promujące Windows, który z bezpieczeństwem nigdy nie miał nic wspólnego?

"Powstaje więc pytanie - jak długo będziemy jeszcze inwigilowani w pracy, w służbie zdrowia, w bankowości - tam też są windowsy"
Tak dlugo, az nie bedzie odgornego przepisu nakazujacego uzywanie wylacznie wolnego oprogramowania w bankach, urzedach, szpitalach, policji, wojsku itd.
"Dlaczego w urzędach używają - tego nie wiem" dlatego ze sa przyzwyczajeni do "jedynie slusznego" systemu
"rządzie Rosyjskim (!) już się skończyło, bo chcą chronić swoje dane i dane obywateli" - tak i slusznie robia
"Tylko teraz pomyślmy o wszystkich tych programach potrzebnych w przedsiębiorstwach produkcyjnych" - mozna korzystac z win10 oczyszczonego z syfu i niepodlaczanego do internetu
"Skąd takie podejście promujące Windows, który z bezpieczeństwem nigdy nie miał nic wspólnego?" - przyzwyczajenie i lobbing M$

Ja używam tego trackera http://www.medisana.de/Sport/Activity-Tracker/ViFit-MX3-connect-Activity...
a oto co napisali na temat prywatności:
2. Data Collection and processing
2.1 Medisana collects and processes information to be able to furthermore offer you optimal services in the future. Personal evaluation of your data does not take place. During use of VitaDock® Online Services only your internet service provider's address, such as IP ad- dress or URL, the website name, from which you have visited us, the website, which you called up with us and the date and duration of your stay is stored by default. These anonymised surveys are entirely processed internally and are not forwarded to third par- ties. What's more, no personal user profile is created in this way.
2.2 Additional personal data, such as name, address and email address are stored separately within the scope of the setup of a user account. The corresponding mandatory fields to be filled out are marked here. All information requested in addition may be optionally specified and will also be stored by us.
2.3 The vital body and health values prepared by you will be stored separately from your other personal data.
2.4 We reserve the right to analyse your anonymised vital body and health values for inter- nal purposes. Hence we may, for example calculate average values and thus give our us- ers the opportunity to compare themselves with other customer groups with a similar health profile. We take care that anonymity is maintained pursuant to data protection.
3. Use and Forwarding of Personal Data
3.1 All of your personal data prepared for creation of your user account is treated as confi- dential by us and is not forwarded to third parties without your consent. Your personal data is used by us only to answer your questions and for internal preparation of statis- tics. Exceptions only exist in the case of forwarding your data to governmental institu- tions and authorities per law.
3.2 The vital body and health values prepared by you may be accessed from the mobile de- vices activated by you and authorised third parties pursuant to the Terms of Use. For this purpose we use the Open Authentication (OAuth) process, which is also described in detail in the terms of use, to secure your data. Data is always passed on in anonymised form. Allocation of retrieved data sets about you is made via the account with the re- spective third-party application. You grant your consent concerning this via authorisa- tion of the third party.
https://cloud.vitadock.com/public/DataPrivacyStatement.pdf

@amx: Jak długo będziesz trwać, w tym, że mówią Ci prawdę. To reklama, a każda reklama to kłamstwo.

Co do "jedynego słusznego" systemu operacyjnego - jad długo będziemy czekać na to aż rząd zabroni tego. Zapewne więcej niż czas kadencji PiS, bo ten zamiast dbać o bezpieczeństwo to ustala kary za znajdywanie i zgłaszanie dziur nawet w dobrej wierze. Ci co działają w złej wierze poradzą sobie z organami ścigania.

@Anonim: Jak używać win10 oczyszczonego (nielegalnie, bo licencja tego zabrania) z syfu - niepodłączonego do internetu i jednocześnie sprawnie wyszukiwać informacje w internecie i sprawnie korespondować mailowo z klientami? Przecież takie używanie win10 to prawie tak jak piracenie win7 lub winXP, bo czemu nie skoro wydajniejsze i prostsze w obsłudze.

Licencja zabrania zablokowania aktualizacji? Zabrania niepodłączania do Internetu?
Z siecia sie mozna laczyc na linuksie.

Komputer pracodawcy może tez zbierać infrmacje o twoim wizerunku. I nie tylko. Na przyklad rozmowy na microsoftowym Skype, który jest w pełni kontrolowany przez NSA i GHCQ. Może też przesyłać zdjecia Twojej twarzy do tworzonych przez sluzby baz danych biometrycznych, a i sposób pisania na klawiaturze też jest unikalny i też można Cię tak profilować i dane te zapisywać i przesyłać gdziekolwiek. Nie jest to SF,to wszystko dzieje się teraz, technologie są dostępne od ręki.Dlatego nawet korzystanie z komputera tylko do spraw służbowych może być permanentną inwigilacją ( a na pewno jest jeśli się używa Win10 ). Trzeba porzucić system opearcyjny Microsotu, a jeśli to niemozliwe, to instalowac go tylko na komputerach NIGDY nie podlaczanych do internetu!!

@Piotrek. Na kamerkę masz prosty sposób znany od lat i widoczny bardziej lub mniej dyskretnie na laptopach - wystarczy ją zakleić czarną grubą taśmą lub w kolorze bardziej pasującym do koloru obudowy i po problemie. Gorzej jest z mikrofonem.
Klawiatura - włącz sobie jakiegoś spowalniacza - program który mocno jedzie po procesorze i po problemie. Tylko wtedy pisanie jest trochę uciążliwe.

Sam widnows 10 w twoim poście - zgadzam się w 100%. Nie instalować na komputerach z dostępem do internetu. Mając na myśli usuwanie syfu - tu jest największy problem zgodności z licencją.

@hhh. Instalowanie niezmienionego na komputerze bez internetu i na drugim linuxa do komunikacji - tylko zaczyna to być uciążliwe bo na pracownika potrzeba 2 komputery by nie przełączał się non-stop między dwoma komputerami.

Przypomnę, że nie każdy komputer umożliwia wyłączenie wifi w biosie.

Zapytam jeszcze raz - JAK DŁUGO BĘDZIE polski rząd siedzieć i nic nie robić z tym problemem? JAK DŁUGO BĘDZIE Unia Europejska udawać, że coś robi zamiast zdelegalizować Windows 10 i za jego używanie wlepiać kary firmom oraz microsoftowi, że sprzedał na teren Polski?

Wskażę tutaj, że wiele programów wymiienionych wcześniej a potrzebnych do firmy nie chce funkcjonować bez dostępu do internetu - najczęściej w celu sprawdzenia licencji, telemetrii i wielu innych. Często wymogiem jest posiadanie sieci i tu kończy się utopia "odłącz Windows 10 od internetu".

Zaklejenie kamerki nic nie da, bo przecież wielu pracodawców wymaga używania Skype na Windows 10. Problemem jest inwigilujące oprogramowanie, nie kamerka.

Nie rozmawiam z takimi pracodawcami, a przy podpisaniu umowy można zaznaczyć, że nie wyrażasz zgody na korzystanie z programów, które nagrywają twój wizerunek (nieadekwatność danych dla celów pracowniczych - Kodeks Pracy).

Poza tym spójrz kto jest właścicielem Skype. Czyż nie Microsoft? Na prawdę dalej chcesz go używać nawet na Windows 98?

Wszystko to prawda, ale znajdź prosze urząd/szpital/jakakolwiek inną instytucję państwąwą/nie-techniczną firmę prywatną, która nie używa Windowsa. Wersję 7,8,10 - inwigilacja, XP i starszę - dziurawe i niebezpieczne. Jesteśmy w potrzasku tak naprawdę. Przypominam ze wersje Windowsa 7 i 8 również od pewnego czasu mają włączoną telemetrię. Czyli wysyłają do Microsoftu to, jak piszesz na klawiaturze, treść maili, itd.

W windows 7 i 8.1 można zwyczajnie zwlekać z aktualizacjami przez krótki czas i gdy się pojawią informacje gdzie są takie shity, zwyczajnie te aktualizacje pominąć. Windows 10 nie daje tej możliwości, ponieważ od początku jest inwigilacja i nie można omijać łatek.

Jest pare trickow by wybierać tylko te łatki które chcemy, ale mówimy o zwyklym uzytkowniku, ktory klika w co popadnię. A tacy są ludzie na recepcjach, urzędach i służbach. Dlatego Windows to problem sam w sobie, bo wykorzystuje nieporadność użytkowników do niecnych celów. Trzeba się więc go pozbyć i zastąpić wolnym oprogramowaniem.

@problem: Recepcje? Urzędy? Służby? Pracodawcy? W przypadku Windows 7 i 8.1 powinni posiadać w firmie/urzędzie kogoś takiego jak dział IT, a nie kilku łysych matołów i nierobów drapiących się po j***ch, zamiast pracować. To oni powinni im instalować sprawdzone programy i łaty. Zaś co do urzędów i służb oraz firm medycznych już dawno powinien tam królować Xubuntu lub inny linux. Złożoność obsługi użytkownika taka sama jak złożoność obsługi Windowsa (mówię o tych co wszystko KLIKAJĄ).

JAK DŁUGO BĘDĄ nas jeszcze szpiegować tymi Windowsami? Dlaczego firmy nie chcą pracowników, którzy deklarują, że chcą pracować na Linuxie a nie na Windowsie, bo sprzeciwiają się przetwarzaniu jego danych przez Windows 10?

To wszystko dzieje się dlatego że ludzie o inwigilacji nie wiedzą lub świadomie wybierają o tym nie myśleć i nie robić nic żeby poprawić bezpieczeństwo informacji. Zazwyczaj jest "nie mam nic do ukrycia", "mnie to nie dotyczy", "i tak wszystkich szpiegują", "prywatności nie ma", "inwigilacja jest wszędzie" itp. W ten sposób ludzie oszukują samych siebie i przy okazji innych żeby nie myśleć o problemie. Firmy i rządy państw to wykorzystują i powtarzają te kłamstwa dla swoich korzyści. Gdyby tak nie było i gdyby ludzie nie pozwalali się inwigilować i korzystaliby tylko z bezpiecznego oprogramowania open source to nie było by inwigilacji Facebooka, Google i Microsoftu.

Microsoft dodatkowo uzależnił większość ludzi od swojego gównianego bo dziurawego i szpiegującego oprogramowania. Jak ktoś zna się na technologii to zmieni swoje nawyki i oprogramowanie i się przyzwyczai. Ci co są w tyle czyli ogromna większość dalej będą korzystać z tego gówna i dalej będą inwigilowani więc problem nie zostanie rozwiązany. Jakby każdy znał i umiał używać Linuksa to jaki miałby powód do używania Windowsa?

Jak długo będzie to jeszcze trwało? Moim zdaniem prawdopodobnie wiele lat. Nie da się raczej tego zmienić, Możemy jednak sami się zabezpieczać radzić to samo innym i tłumaczyć dlaczego warto to robić. Jeśli za jakiś czas większość zaawansowanych użytkowników komputera nie będzie się dawała inwigilować to będzie ogromny sukces. Do tego czasu nawet przekonanie jednej osoby do zmiany nawyków jest sukcesem. Z czasem może poziom nauczania informatyki w szkołach się poprawi i więcej ludzi będzie świadomych. Uświadamiajcie ludzi i nie dajcie się nabrać na wymówki.

PS Panoptykon powinien zrobić listę bezpiecznego oprogramowania, umieścić na stronie głównej i stale ją aktualizować.

Ale przejście samemu na wolne oprogramowanie nic nie daje, bo nasze dane osobowe, dane wrażliwe, wizerunki, zapis głosu, odciski palców - są przetwarzane na dziurawych, szpiegujących i inwigilujących systemach w miejscach wymienionych już w poprzednich komentarzach.

Co z tego, że przejdę na Linuksa, jak wszystkie urzędy państwowe na całym świecie za wyjątkiem Chin i Rosji siedzą na systemach Microsoftu?

Masz rację, ale dane w urzędach nie są anonimowe i nigdy nie będą. To co trzymasz na komputerze to tylko i wyłącznie Twoja sprawa i tak powinno zostać, chyba że Ty zdecydujesz inaczej. Nie masz kontroli nad tym co robią urzędy z Twoimi danymi, ale możesz kontrolować co się dzieje z pozostałymi danymi. Nawet jeśli zabezpieczysz tylko część informacji, np. zaczniesz używać Tora i VPN żeby dostawca internetu nie mógł widzieć co robisz w internecie to i tak jest to ogromna ilość danych i już uwolniłeś się od inwigilacji jednej firmy. Potem znowu coś zmieniasz i uwalniasz się od kolejnej. Nawet gdybyś zainstalował Linuksa jako drugi system i używał go tylko przez połowę czasu to i tak zmniejszasz ilość informacji, które idą do MS i już robisz więcej w tej sprawie niż większość ludzi. Z czasem możesz porzucić Microsoft całkowicie.

Dodaj komentarz