שעונים חכמים, צמידי כושר ואביזרים לבישים אחרים הופכים לחלק מהחיים של כולם במהירות רבה, ממש כמו הטלפונים הניידים ומחשבי הלוח (הטאבלטים) שלנו. החפיצים (גאדג׳טים) המחוברים האלה עושים הרבה יותר מלהגיד לנו מה השעה. הם עוקבים אחרי הבריאות שלנו, מציגים את הדוא"ל שלנו, שולטים בבתים החכמים שלנו ואפשר אף להשתמש בחלקם כאמצעי תשלום בחנויות. הם חלק נוסף ממה שנקרא "האינטרנט של הדברים" (IoT), שהופך את החיים של כולנו לבריאים ונוחים יותר, תוך כדי צמצום הזמן שאנחנו מקדישים למסכי הטלפונים החכמים שהגיע לקצת פחות משש שעות עבור כמחצית האמריקנים בשנה הזו. באופן די צפוי, מדובר בשוק שצפוי לגדול ב-12.5% מדי שנה במהלך השנים הקרובות ולהגיע למכירות של 118 מיליארד דולר עד 2028. אך כשאביזרים לבישים מתחברים לחיי היום-יום שלנו יותר מכל מכשיר אחר, הם גם אוספים כמות גדולה יותר של נתונים ומתחברים למספר הולך וגדל של מערכות חכמות אחרות. כדאי להבין את הסיכונים האפשריים לבטיחות ולפרטיות לפני שאתם מתחילים להשתמש במכשירים כאלה.

מהם השיקולים העיקריים בכל הקשור לבטיחות ופרטיות?

לגורמי איום יש מספר דרכים באמצעותן הם יכולים להרוויח כסף ממתקפות על מכשירים חכמים לבישים ועל אקו-סיסטם של ישומונים ותוכנות שקשורות אליהם. הם יכולים ליירט נתונים וסיסמאות ולשנות אותם, ויכולים לשחרר מכשירים שאבדו או נגנבו מנעילה. אך מה קורה עם השיתוף הסמוי של הנתונים האישיים שלנו עם צדדים שלישיים?

גניבת נתונים ושינוים

חלק מהשעונים החכמים שכוללים מאפיינים רבים מאפשרים גישה מסונכרנת לישומונים שבטלפון שלכם, כמו הדוא"ל וישומוני המסרים המידיים. זה עלול לאפשר למשתמשים לא-מורשים ליירט מידע אישי רגיש. באותה המידה, קיים חשש שחלק מהמידע הזה יאוחסן במכשיר הלביש עצמו. אם המכשיר אינו מוגן כמו שצריך, ייתכן שפצחנים ינסו לתקוף אותו. יש שוק שחור משגשג לסחר בסוגים מסוימים של נתונים אישיים ופיננסיים.

איומים מבוססי מיקום

סוג המידע העיקרי הנוסף שמתועד על-ידי מרבית המכשירים הלבישים הוא המקום. באמצעות המידע הזה, פצחנים יכולים לבנות פרופיל מדויק של התנועה שלכם במהלך היום. זה יכול לאפשר להם לתקוף פיזית את לובש המכשיר, או לנסות ולפרוץ לו לרכב או לבית בזמן בו הם יודעים שככל הנראה הוא לא נמצא בו. קיים חשש גדול אף יותר לבטיחותם של ילדים המשתמשים במכשירים כאלה, אם הם נמצאים במעקב של גופים חיצוניים לא-מורשים.

חברות חיצוניות

המשתמשים צריכים להיזהר מפני סיכונים נוספים, ולא רק מפני סיכוני האבטחה. הנתונים שהמכשירים שלכם אוספים עשויים להיות בעלי ערך רב למפרסמים. הסחר בנתונים כאלה משגשג בשווקים מסוימים, למרות שהנתונים האלה אמורים לעמוד באסדרה מוקפדת באיחוד האירופי הודות לחקיקה שהוצגה בשנת 2018. דוח אחד טען שהרווח ממידע שנאסף על-ידי יצרני מכשירי בריאות ונמכר לחברות ביטוח עשוי להגיע ל-855 מיליון דולר עד 2023. חלק מהחברות החיצוניות אף עשויות להשתמש בנתונים כדי ליצור פרופילי פרסום של לובשי המכשירים ולמכור את הפרופילים האלה. אם המידע הזה מאוחסן על-ידי מספר חברות נוספות לאורך הדרך, הסיכון גדל אף יותר.

שחרור הבית החכם מנעילה

חלק מהמכשירים הלבישים מאפשרים שליטה במכשירי בית חכם. ניתן אף להגדיר אותם כך שיפתחו את נעילת הדלת הראשית לבית. זה יוצר סיכון אבטחה משמעותי במקרים בהם מכשיר כזה אבד או נגנב וההגדרות להגנה מפני גניבה לא מעודכנות.

מהם חסרונות האקו-סיסטם של מכשירים כאלה?

בחברת אבטחת המידע ESET מציינים כי המכשיר אותו אתם לובשים הוא רק חלק אחד מתמונה גדולה. למעשה, ישנם מספר מרכיבים – החל מהקושחה של המכשיר ועד לפרוטוקולי התקשורת בו הוא משתמש, הישומון שלו ושרתי הענן המשמשים את פעולות צד-השרת שלו. כל אלו עשויים להיות יעד למתקפה אם היצרן לא דאג לאבטחה ולפרטיות. הנה חלק מנקודות התורפה:

• בלוטות׳ - חיבור בלוטות׳ באנרגיה נמוכה (BLE – Bluetooth Low Energy) הוא סוג החיבור המשמש בדרך כלל לחיבור מכשירים לבישים לטלפונים חכמים. עם זאת, במהלך השנים התגלו פרצות אבטחה רבות בפרוטוקול הזה. הפרצות האלה אפשרו לתוקפים שקרובים אליכם פיזית לגרום לקריסת המכשירים, לצותת למידע העובר אליו וממנו או לשנות את הנתונים העוברים מצד אחד לשני.

• מכשירים - במקרים רבים, התוכנה שעל המכשיר עצמו חשופה למתקפה חיצונית בשל תכנות לקוי. גם השעון הטוב ביותר נבנה על-ידי בני אדם, ולכן עשויות להיות בו טעויות קוד. הטעויות האלה עשויות להוביל לפגיעה בפרטיות, לאובדן מידע ועוד.

• אימות והצפנה חלשים של המכשירים האלה עשויים לחשוף אותם לפריצה ולציתות. הלובשים צריכים להיזהר גם מפני הצצה מעבר לכתף אם הם צופים בהודעות או בנתונים רגישים במכשירים הלבישים שלהם כשהם נמצאים במרחב ציבורי.

• ישומונים - הישומונים בטלפון החכם שמתחברים למכשירים לבישים יוצרים אפיק תקיפה נוסף. ייתכן שגם הקוד שלהן נכתב באופן לקוי ומלא בפרצות אבטחה ויאפשר גישה לנתונים והמכשירים של המשתמש. בנוסף, ייתכן שהישומונים או אף המשתמשים עצמם לא מתייחסים לנתונים באחריות המתבקשת. כמו-כן, קיימת האפשרות שתורידו ישומון שמתחזה לישומון המקורי ונראה כמו ישומון לגיטימי ותזינו אליה פרטים אישיים.

• שרתים - כפי שהוזכר, המערכות מבוססות-הענן של הספקים עשויות לאחסן מידע הכולל נתוני מקום ונתונים נוספים. זו מטרה אטרקטיבית במיוחד לתוקפים שמחפשים להרוויח רווח גדול ממתקפה. לא תוכלו לעשות הרבה מהבחינה הזאת, מלבד בחירה בספק אמין שידוע לטובה מבחינת אבטחה.

לרוע המזל, רבים מהתרחישים שתוארו למעלה הם לא תיאורטיים. לפני מספר שנים, חוקרי אבטחה מצאו פרצות במגוון רחב של שעונים חכמים לילדים שחשפו נתוני מיקום ופרטים אישיים. לפני הגילוי הזה, חקירה נפרדת גילתה שיצרנים רבים שלחו נתונים אישיים באופן בלתי-מוצפן מילדים המשתמשים במוצרים לבישים לשרתים שיושבים בסין. החששות הללו קיימים גם היום, והמחקרים מראים שחפיצים כאלה חשופים למניפולציות שאף עלולות לגרום למצוקה גופנית למשתמש. מחקר אחר טוען שפצחנים יכולים לשנות סיסמאות, לקיים שיחות, לשלוח מסרונים ולגשת למצלמות דרך מכשירים שמיועדים לנטר קשישים וילדים.