Életnaplózás, bioszenzorok, geolokáció – Milyen veszélyeket rejt önkövető tevékenységünk?
Világszerte emberek milliói rögzítik élményeik és teljesítményük minden aspektusát napi rendszerességgel, valamilyen önkövető tevékenységgel. Ezt a jelenséget life loggingnak – életnaplózás – vagy quantified selfnek – megmért én – nevezik. Az önmagunk megismerését célzó tevékenység során temérdek személyes adatot továbbítunk és tárolunk el különöző helyeken, s ez komoly biztonsági kérdéseket is felvet.
A Symantec szakértői több biztonsági kockázatot is találtak ezekben az eszközökben és alkalmazásokban. Az egyik legfontosabb veszélyforrás – amely ráadásul piacvezető termékeket is érint – a helymeghatározás sebezhetőségéhez kötődik.
Hogyan működnek az önkövető rendszerek?
A legtöbb ember általában olyan eszközöket használ, mint az elektronikus karszalag, az okosóra vagy más okos ruházat. Ezek az eszközök általában számos érzékelőt, processzort, memóriát, illetve kommunikációs interfészt tartalmaznak. A kütyükkel a felhasználó könnyedén összegyűjtheti, tárolhat és továbbíthatja az adatokat egy másik számítógépre, amely feldolgozza és elemzi ezeket.
A speciálisan kialakított eszközök növekvő elterjedésének ellenére valószínűleg még mindig az okostelefonokat használjuk leginkább életünk történéseinek követésére. Egy modern okostelefon számos szenzorral van felszerelve, és a legtöbben már eddig is magukkal vitték okostelefonjaikat mindenhová, az ingyenes önkövető alkalmazások pedig még könnyebbé teszik saját életünk szinte minden szegmensének követését.
Életünk mozzanatainak követéséhez egyszerűen kiválasztjuk a számunkra érdekes alkalmazásokat a rengeteg elérhető applikáció közül, létrehozunk egy felhasználói fiókot, majd elkezdjük az adatgyűjtést. Minden tevékenység végén a felhasználó megnézheti és egy felhő alapú tároló szerverrel szinkronizálhatja az összegyűjtött adatokat.
Mennyire van biztonságban a „megmért én”?
A tevékenységekkel kapcsolatos adatok mellett néhány szolgáltatás több más személyes adatot is begyűjt. Ilyenek lehetnek a születési idő, családi állapot, lakcím, fotók vagy más személyes statisztikák. A személyes adatok illetéktelen kezekbe kerülését megakadályozandó minden ilyen szolgáltatáshoz kötődő fiók felhasználónévvel és jelszóval védett.
A Symantec szakemberei megfigyelték, hogy az alkalmazások elfogadhatatlanul nagy része nem kezeli biztonságosan ezeket a szenzitív felhasználói adatokat (felhasználónevek, e-mail címek, jelszavak). Számos alkalmazás a felhasználók által generált adatokat kevésbé biztonságos közegen, például interneten keresztül, megfelelő védelem (pl. titkosítás) nélkül továbbítja. Ez azt jelenti, hogy az adat könnyen hozzáférhetővé válik a támadók számára. Az elemi biztonsági intézkedések hiánya ezen a szinten már jelentős mulasztás, és komoly kérdéseket vet fel a szolgáltatások adatkezelésével és adattárolásával kapcsolatban.
A Symantec kutatói a Raspberry Pi miniszámítógép használatával építettek néhány pásztázó eszközt, amelyekkel sporteseményeken és forgalmas köztereken könnyedén követhették a versenyzőket és járókelőket. A szerkezet összetevőit bármelyik áruházban meg lehet vásárolni, nyílt forráskódú szoftverrel és néhány egyéni scripttel kombinálva, alapszintű IT tudással mindössze 75 dollárból létrehozható az eszköz.
A tesztelés közben a Symantec szakemberei kizárólag olyan eszközzel találkoztak, mely könnyen követhető az általa továbbított egyedi hardvercím alapján. Néhány eszköz – a beállítástól függően – lehetővé teszi a távoli lekérdezést, amelyen keresztül a sorozatszám vagy az eszköz több jellemzője kis távolságból leolvasható egy harmadik személy által anélkül, hogy fizikailag megérintenénk a készüléket.
A Symantec a személyes adatok tárolásában és kezelésében is komoly sérülékenységeket fedezett fel, mint például a jelszavak továbbítása egyszerű szöveges formátumban vagy a rossz munkamenet-kezelés (session management). A megvizsgált alkalmazások 52 százalékának nem voltak adatvédelmi irányelvei.
Mit tehetünk?
Figyelembe véve a tapasztalt biztonsági és adatvédelmi problémákat, személyes adataink védelmének érdekében az lenne a legjobb, ha egyáltalán nem használnánk semmilyen eszközt vagy alkalmazást tevékenységeink követésére. A potenciális biztonsági és adatvédelmi kockázatok ellenére ugyanakkor a quantified self mozgalom folyamatosan növekszik, és várhatóan ez a tendencia folytatódik az elkövetkezendő években is.
Annak érdekében, hogy a felhasználók biztonságban legyenek, a Symantec néhány alapvető biztonsági intézkedés betartását javasolja, amely segít a személyes és az önkövetéshez kapcsolódó adatok megvédésében.
- Használjunk képernyőzárat vagy jelszót, hogy megakadályozzuk a jogosulatlan hozzáférést készülékünkhöz
- Ne használjuk ugyan azt a felhasználónevet és jelszót különböző oldalakon
- Használjunk bonyolult, erős jelszavakat
- Kapcsoljuk ki a Bluetootht, ha éppen nincs rá szükség
- Legyünk óvatosak az olyan oldalakkal és szolgáltatásokkal, amelyek felesleges vagy túl sok információt kérnek
- Legyünk körültekintőek, amikor a közösségi felületeken való megosztás funkcióját használjuk
- Ne osszuk meg a helyzetünkkel kapcsolatos információt a közösségi felületeken
- Ne használjunk egyértelmű és könnyen hozzááférhető adatvédelmi nyilatkozat nélküli alkalmazásokat vagy szolgáltatásokat
- Olvassuk el és értsük meg az alkalmazások és szolgáltatások adatvédelmi nyilatkozatát
- Mindig tegyük fel az elérhető frissítéseket alkalmazásainkra és operációs rendszerünkre
- Ahol lehetséges, használjunk eszköz alapú biztonsági megoldásokat vagy alkalmazzunk a teljes eszközre kiterjedő titkosítást
Kapcsolódó cikkek
- Négy tanács a kibertámadások elleni védekezéshez
- Nem kell Kínának a Symantec és a Kaspersky Lab
- BYOD vagy CYOD – ez itt a kérdés
- Kaspersky Lab: gyorstippek a biztonságos nyaraláshoz
- Tátongó biztonsági rések a kisvállalatok honlapján
- Symantec: június volt a legcsendesebb hónap
- A vállalkozások 12 százalékát éri célzott támadás
- Kockázati tényezők a felhőszolgáltatásoknál
- „Okos biztonsági öv”, nehogy elaludjon a sofőr
- Felütötte a fejét a Simplocker új verziója
E-világ ROVAT TOVÁBBI HÍREI
Újgenerációs, sajátmárkás készülékek a Telekomnál
A Telekom május 23-án piacra dobja az újgenerációs, saját márkás készülékeit, a T Phone 2 5G-t és T Phone 2 Pro 5G-t. A telefonok nagyobb teljesítményű processzorral, fejlett kamerarendszerrel és kiváló minőségű kijelzővel érkeznek, hogy optimalizált játék- és streaming-élményt nyújtsanak felhasználóiknak.
Érkezik: mesterséges intelligencia és virtuális valóság az oktatásban
Tanítás és tanulás az MI vagy XR technológiák segítségével, mentális egyensúly a mesterséges intelligencia korában. Idén is meghirdeti pedagógusoknak szóló pályázatát a Yettel digitális oktatási programja, a ProSuli. A pályázat célja, hogy a tanárok a szakterületükhöz szorosan kapcsolódó digitális tananyagokat hozzanak létre, különös tekintettel a matematika, a természettudományok és az idegen nyelvek területére. Az elkészült tananyagok valamennyi hazai pedagógus számára hozzáférhetők lesznek. A 25 legjobb pályázó egész nyárra elegendő mobilinternetben részesül, 10 nyertes pedig 120 ezer forint értékű ajándékutalvánnyal gazdagodhat.
NIS2 visszaszámlálás: Másfél hónapjuk van a vállalatoknak a NIS2 nyilvántartásba vételre
A NIS2 direktíva számos követelményt fogalmaz meg az EU-tagállamok kiber- és információbiztonságára vonatkozóan. Magyarországon a „2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről”, azaz a „Kibertan-törvény” implementálja a direktíva rendelkezéseit, melynek értelmében az érintett vállalatoknak 2024. június 30-ig regisztrálniuk kell magukat a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által kijelölt online felületen.
Megjelent a NEXT 3D konferencia programja
Megjelent a NEXT 3D additív gyártás és digitalizálás konferencia programja. Nem kevesebb, mint 15 hazai mérnök és vezető szakember fogja megosztani 3D technológiai sikereit és tapasztalatait a résztvevőkkel. A konferenciaprogram alapján a NEXT 3D látogatói felbecsülhetetlen értékű tudással bővíthetik 3D nyomtatási és 3D szkennelési ismereteiket.
Ezek az idei kulcstémák a webes és marketing stratégiák terén
Mások mellett Balogh Levente, a Szentkirályi ásványvíz alapítója, Wolf Gábor kisvállalati marketing szakértő, Sárospataki Albert, a Billingo vezérigazgatója és Huszár Viktor, a Teqball társalapítója is előadást tart az idei Maximum Web és Marketing Konferencián, ahol a résztvevő vállalkozók elsősorban a sikeres cégvezetés és online működés megvalósításához gyűjthetnek hasznos tudást a leghitelesebb példaképektől.