Pulseiras de fitness permitem seguir utilizadores via Bluetooth

Esta é uma organização canadiana sem fins lucrativos e o estudo foi financiado pela comissão de proteção de privacidade do Canadá, com a colaboração do Citizen Lab da Universidade de Toronto. A intenção era perceber até que ponto pulseiras de fitness que são usadas por milhões de pessoas em todo o mundo colocam salvaguardas da sua privacidade ou simplesmente descuram este aspeto. Foram escolhidas oito: Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, Mio Fuse, Withings Pulse O2, Xiaomi Mi Band, Basis Peak (da Intel) e o Apple Watch.

A conclusão é que a esmagadora maioria permite seguir os utilizadores sem que estes saibam, além de deixarem muitos dados pessoais à mercê de exploração. Esta não é apenas uma questão de poder piratear uma Fitbit ou Jawbone: a segurança básica dos dados e dos utilizadores está em causa. Todas as empresas foram notificadas dos resultados e da publicação do estudo, intitulado “Every step you fake.”

Os investigadores analisaram como são protegidas as transmissões de informação entre a pulseira e a internet; se os dados enviados poderiam ser adulterados; e se as pulseiras incluem a implementação de Bluetooth LE Privacy, uma funcionalidade que muda o endereço MAC aleatoriamente e de forma periódica para que o gadget não possa ser seguido.

Garmin e Withings com piores resultados

No primeiro caso, “concluimos que a maioria das aplicações utiliza HTTPS para encriptar as comunicações”, dizem os investigadores. “A grande excepção são as apps Garmin Connect para Android e iOS, que não encriptam a transmissão de dados de fitness na Internet.” As apps apenas usam HTTPS na altura da criação da conta e na entrada (sign on). O relatório nota ainda que a Withings Health Mate não usa HTTPS quando um utilizador tenta partilhar o quadro de resultados com um contacto.

Na segunda vertente, os testes demonstraram que a Garmin Connect e a Withings Health Mate “são vulneráveis a observação e adulteração por parte de terceiros no momento da transmissão.” A Jawbone UP e a Withings Health Mate deixam que um utilizador envie as suas credenciais para falsificar os relatórios que chegam às marcas, uma adulteração fácil de fazer.

O terceiro ponto é o mais importante. “Descobrimos que apenas o Apple Watch implementa Bluetooth LE Privacy; todos os outros aparelhos não o fazem”, sublinham os investigadores. O relógio da Apple muda o MAC address aproximadamente a cada dez minutos.

Sem esta funcionalidade, as pulseiras transmitem um sinal com um identificador Bluetooth único e persistente: terceiros podem seguir os utilizadores mesmo quando as pulseiras não estão emparelhadas com um smartphone. Os cenários enunciados pelos investigadores referem-se aos centros comerciais, que agora têm sistemas que fazem um ‘scan’ dos aparelhos Bluetooth nas suas instalações, e forças policiais ou outras autoridades, que podem estar interessadas nas bases de dados com estes perfis.

A Fitbit respondeu aos investigadores sobre esta questão e disse estar interessada na sua implementação, mas afirmou que o ecossistema Android é muito fragmentado e que muitos aparelhos não suportam LE Privacy. A Intel também respondeu, mas não pretende fazer alterações na Basis Peak.

O estudo integral pode ser consultado neste link.