Proponha uma correção, faça uma sugestão
É possível roubar dados dos smartwatches da Samsung e LG
Os smartwatches começam lentamente a ocupar o seu lugar no mundo da tecnologia. Objectos ainda pouco compreendidos pela maioria das pessoas, acabam por estar imunes à maioria dos problemas de segurança, muito por culpa no desinteresse que existe.
Mas a verdade é que estes dispositivos estão expostos aos mesmos problemas que atingem qualquer outro dispositivo, tendo agora sido descoberto que é possível roubar dados dos smartwatches da Samsung e da LG.
A conclusão agora apresentada resulta de um estudo da Universidade de New Haven, que avaliou a segurança dos dados dos utilizadores do smartwatch Gear Neo da Samsung e do LG G Watch.
Após esta avaliação ficou provado que estes dois equipamentos permitem que qualquer atacante com experiência possa roubar os dados que estão alojados nos dispositivos.
No caso do smartwatch da Samsung foi possível roubar emails, contactos e dados de saúde. Já no LG G Watch foi possível retirar do dispositivo dados calendário, contactos e pedómetro.
A razão para que tenha sido possível aceder a estes dados é simples. Eles são guardados sem qualquer tipo de cifra e por isso acessíveis a qualquer atacante.
Apesar de ser uma situação potencialmente perigosa, os investigadores que levaram a cabo este estudo concluíram que é necessário que o atacante tenha conhecimentos elevados nesta área e que o ataque não pode ser realizado por qualquer um.
Para conseguir acesso a estes dados, a equipa de segurança da Universidade de New Haven usou várias abordagens e acabou por conseguir acesso aos ficheiros do próprio smartwatch e também nos próprios smartphones que sustentam estes equipamentos.
O problema não está centrado num sistema operativo específico, uma vez que o LG usa o Android Wear e o Gear Neo está a usar o sistema Tizen. O próprio Apple Watch começou agora a ser avaliado e muito em breve vão surgir as primeiras conclusões.
Estas falhas agora descobertas vêm revelar a necessidade de serem criados mecanismos para realizar de forma efectiva a cifra dos dados nos dispositivos, sejam eles smartphones ou smartwatches.
A segurança dos dados deixa agora de ser um problema associado aos computadores e aos smartphones, sendo alargado aos mais recente equipamentos a chegar ao mercado, os smartwatches.
Este artigo tem mais de um ano
Loading ...
Quem já testou?
https://github.com/jansoucek/iOS-Mail.app-inject-kit
Já testei, não há ninguém que seja burro q.b. para cair nessa…
Nos relógios Casio tal não era problema 🙂
Gustavo a maior fragilidade dos sistemas de segurança é o fator humano logo haverá sempre alguém, muitos ou poucos é que poderá ser discutível.
Agora ninguém é de todo improvável.
A meu ver isto são problemas inerentes ao fator de potenciamento do consumismo.
Mais uma vez se prova para a minha pessoa que são equipamentos supérfluos e de momento em nada se podem considerar uma verdadeira necessidade sejam eles quais forem, mas essa é a minha opinião como tal não compro Mas há quem tenha opiniões contrárias para bem de indústria.
Pois, também não havia muita gente burra que permitisse o leak da iCloud… Claro!
Que leak da iCloud?
Em que mundo vives tu?
https://en.wikipedia.org/wiki/2014_celebrity_photo_hack
Olha eles a desviar a conversa…
Já apareceu aqui no pplware… Não passa de um ataque de phishing…
“Eles são guardados sem qualquer tipo de cifra e por isso acessíveis a qualquer atacante.”
Lol!
Era de se esperar o quê?
Não têm segurança nos telemóveis, quanto mais nos relógios…
Os cães ladram, a caravana passa…
“Após esta avaliação ficou provado que estes dois equipamentos permitem que qualquer atacante com experiência possa roubar os dados que estão alojados nos dispositivos.”
wow
“Apesar de ser uma situação potencialmente perigosa, os investigadores que levaram a cabo este estudo concluíram que é necessário que o atacante tenha conhecimentos elevados nesta área nesta e que o ataque não pode ser realizado por qualquer um.”
xiça
“Para conseguir acesso a estes dados, a equipa de segurança da Universidade de New Haven usou várias abordagens e acabou or conseguir acesso aos ficheiros do próprio smartwatch e também nos próprios smartphones que sustentam estes equipamentos.”
Se acedem fisicamente à nand/ram querem o quê? Essas amostras de relogios já têm uma autonomia lastimável, quanto mais com sistemas de criptografia com backdoors e afins kkkk
O meu LG G tem uma autonomia (Android Wear v5.1.1) de 2 dias completos com ecrä ligado + bluetooth com o telemóvel + contar os passos e a receber notificacöes + responder 5-10 SMS/dia pelo smartphone Wear Messenger;
Se for um smartwatch com mais bateria (Sony, Moto, etc) chega perfeitamente aos 3 dias *completos* com ecrä ligado. Se desligares o ecrä e ligares quando precisas/recebes notificacäo, chegas aos 4-5 completos sem problemas. Claro que se te pöes a navegar na internet pelo telemóvel (???) a jogar joguinhos (???) etc claro que näo dá, mas para isso há o smartphone.
Um smartwatch *näo* é um relógio standard, assim como um smartphone *näo* é um Nokia de 15€ com ecrä monocromático e GSM cuja bateria dura >1 semana. Assim como um superdesportivo näo é um pequeno utilitário 1.4 TDI e daí que näo podes esperar o mesmo consumo/autonomia. Se queres um “misto” compras um “Pebble”, mas óbvio perdes imensas funcöes, e ganhas noutras, mas isso depende do que cada um quer. Eu também se compro um portátil 17″ ecrä QHD, i7 e placa NVIDIA näo espero o mesmo que um que compra um portátil de 13″ com um Z3745 e placa Intel integrada…
LOL!
Porque é que não dizes logo que chega aos 10 dias!
Ou melhor… um mês!
Pelo que vejo, toda a gente tem cerca de 1 dia com os Android Wear… menos que o que anunciam…
Na verdade parece que eles disseram que foi fácil lá chegar, apenas requereu alguma investigação, o que leva a supor que a partir do momento que se sabe, outros poderão fazer o mesmo!
No que respeita ao acesso físico, é para isso que existe encriptação. Bastaria que o sistema e hardware tivessem sido pensados para isso.
“Se acedem fisicamente à nand/ram querem o quê?”
Aquilo que a Apple usa: Address space layout randomization (ASLR) e Full Diske Encryption
DUH!
Não é de esperar que seja nada fácil fazer uma coisa destas no Apple Watch. O Apple Watch está encriptado e não tem uma porta de acesso que permita fazer a leitura, só mesmo desmontando o aparelho
Yeah right
duvidas que esteja encriptado!?
Duh!
Os chips do Apple Watch estão dentro de um invólucro metálico (Apple S1), abrir esse invólucro implica desligar a RAM (os dados vão á vida), e até estragar os chips…
Isto já nem é noticia, noticia será, é impossível violar o sistema: Androide, Ios, Windows, ou outro qualquer, enquanto houver homens haverá sempre a curiosidade, e é essa curiosidade que faz isto andar para a frente, já repararam que se não fosse violado nenhum sistema ainda estávamos a usar MSDOS.
É impossível violar o iOS.
“Algo só é impossível até que alguém prove o contrário”
Exacto.
E ninguém prova
Ao ponto que se está a chegar. Mas alguém neste mundo se dá mesmo ao trabalho de pegar em aparelhos de 100-200€ e estar a testar a NAND a ver se retiram os dados??? É mesmo (muito) falta do que fazer…….
Mais: ninguém tem no smartwatch dados de jeito ou que merecam ser roubados. Muito provavelmente NA CARTEIRA (muito mais fácil de roubar) tem 1) Dinheiro (yuuhhhuuu) 2) cartöes de crédito 3) documentos com a morada, código do multibanco, parques de estacionamento (onde estiveram), números de telemóveis…
Pá……ladröes já andam aí à séculos, e já roubaram carteiras / telemóveis com SMS, números de telemóvel e…ninguém quer saber!!! As altas entidades que tem coisas secretas, esses sim andam com telemóveis com software específico, encriptado, feito pelas próprias empresas. O resto do pessoal está-se a marimbar, excepto se tiverem umas fotos/videos de sexo e näo quiserem que subam para a rede. O resto é conversa.
Tendo em conta as aplicações, as notificações e as mensagens que as pessoas podem receber nos aparelhos, há muito potencial para ir parar ao aparelho informação sensível. Deveria haver um mínimo de estrutura de segurança sobre os dados, tal como se veio a constatar nos smartphones, pois infelizmente vivemos num mundo onde há cada vez mais “chicos-espertos”
Opa, o relógio só recebe o que chega ao telemóvel e pouco armazena: se desconectares ambos o relógio é “inútil”; além disso se te roubam o relógio *e* o telemóvel podes tentar fazer reset remoto + mudar todas as passes + informar a operadora para bloquear o SIM (daí 3G e SMS);
Mais se o telemóvel tiver PIN / Impressao Digital *e* o SIM for bloqueado, o ladräo näo consegue interagir + rede bloqueada acabaram-se notificacöes. Daí que as possibilidades tornam-se fracas. E quem vai aceder à NAND??? Somos todos chefes de estado? 🙂
dada a variedade de aplicações e de dados que são transmitidos e que permanecem em cache no relógio, simplesmente não tens como assegurar que este tipo de aparelhos não ande com dados pessoais importantes.
Se desconectares ambos o relógio continua com a informação, e fazer reset a aparelhos destes sem encriptação não te apaga realmente os dados, nem sei se é possível fazer o reset remoto ao relógio.
O resto que dizes não tem grande importância aqui, pois a discussão é sobre o que já lá está guardado não o acesso a novas notificações ou mensagens! E tendo em conta que os aparelhos em causa têm um porta de dados também não dá para perceber qual é a tua questão com o aceder à NAND. Não são os chefes de estado que andam a ser vítimas de roubo de dados pessoais
Mas por que é que tomas o LG G como a referência para os smartphones?
O Apple Watch, com o Watch OS, vai ter apps próprias, com dados que só nele existem.
O LG G pertence à pré-história dos smartwatchs.
Sem dúvida, o LG G comparado com o Apple Watch é um pré-histórico no que diz respeito a deixar a carteira vazia aos clientes. Nisso o Apple Watch ganha com (imensa) distincäo.
Mais um ponto para Gryffindor .
Menos cinco porque o Android Wear está a ficar para trás à força toda 🙂
Então, tanta história com os widgets no Android e não criaram widgets para smartwatch?!
Os do Apple Watch chamam-se Complications
O WWDC 2015 arrasou em todos os aspectos incluindo o watchOS 2. Acho que o pessoal nem se apercebeu bem do terramoto que foi.
http://www.techtudo.com.br/listas/noticia/2015/06/seis-novidades-do-watchos-2-que-vao-mudar-o-apple-watch-wwdc2015.html
Foi um terramoto brutal.
Alias a WWCDC 2015 foi renomeada para Apple – the imitation game, o terramoto foi a apple copiar os adversários que tanto crítica.
Concordo, seria muito mais fácil e proveitoso para um ladrão roubar o relógio do que roubar os dados da minha agenda e emails. lol
Qualquer equipamento que esteja ligado ao mundo está sujeito a roubos de dados, não interessa se custa 100 ou 1000 euros.
Os que não lhes convém a conversa, desvalorizam o facto de nos smartwachs Android do post os dados não estarem encriptados e ser fácil extraí-los, por quem percebe.
Isto não é um assunto que deva ser desvalorizado, porque está na ordem do dia relativamente aos smartphones e estende-se aos smartwatchs, obviamente.
A Apple, a Google e outros defendem a encriptação completa dos smartphones, sem backdoors que permitam a quem quer que seja desencriptar os dados. O governo americano está renitente em aceitar isso.
A Apple, que há anos faza encriptação total do iPhone, anunciou recentemente que tinha “deitado fora a chave” que lhe permitia desencriptar os dados por ordem das autoridades judiciais. A Google, em versão recente do Android, também permite a encriptação total – mas vem apenas como opção, visto que a tecnologia é mais fraca e por isso a encriptação total no Android afecta o desempenho.
Por isso o assunto do post não deve ser desvalorizado. Não sei como é no Apple Watch, mas aponto também para a encriptação total. Já, agora, com o watchOS 2, o Apple Watch ganha o “activation lock”, igual ao do iPhone, um forte desincentivo aos roubos.
http://www.washingtonpost.com/world/national-security/tech-giants-urge-obama-to-resist-backdoors-into-encrypted-communications/2015/05/18/11781b4a-fd69-11e4-833c-a2de05b6b2a4_story.html
O Apple Watch está encriptado. Nem poderia ser doutra forma, por causa dos objectivos da Apple em termos de funcionalidades do Watch, e a preocupação em ter uma forma de bloquear o aparelho quando sai do pulso!
Estás mesmo a sugerir que se devia valorizar aceso aos dados do relógio por acesso físico à NAND? O.o
P.S.: a Apple dizer que não consegue fornecer a chave de acesso ao telemóvel de um criminoso que fez mal a alguém que me é querido para que ninguém consiga ver as “tuas fotos em roupa interior feminina” é algo que me custa a aceitar…
Sim!
Tirar um chip NAND é como um dentista tirar um dente… nada demais…
os aparelhos que são aqui falados têm portas que permitem a ligação por USB ao computador. Sabendo da vulnerabilidade não deve ser preciso muito para obter os dados usando essas portas, os próprios dizem que é fácil. E como há cada vez mais apps e maior aproveitamento das funcionalidades dos relógios, mais e mais informação potencialmente sensível irá passar pelos relógios tornando a segurança dos dados um aspecto muito importante do uso destes aparelhos.
A Oeste nada de novo….
A seguir vai ser o “outro”… mas claro, ai vai ser por causa de uma desculpa qualquer….
De qualquer forma, como diz o artigo, não é para qualquer um, e não tou a ver ninguém perder tempo a ver os dados….