Deney: Bir akıllı saat kullanıcısını gözetlemek ne kadar kolaydır?

Haziran 6, 2018

Akıllı saat, sahibini gözetlemek için kullanılabilir mi? Tabii, bunun birçok yolu olduğunu zaten biliyoruz. İşte, bir tane daha: Akıllı bir telefona yüklenmiş gözetleme uygulaması, yerleşik hareket sensörlerinden (yani, ivme ölçer ve denge çarkı) uzak sunucuya veri gönderebilir ve bu veriler saat sahibinin yürüme, oturma, yazma gibi faaliyetlerini bir araya getirmek için kullanılabilir.

Tehdit pratikte ne kadar kapsamlıdır, hangi veriler gerçekten alınabilir? Bir araştıralım dedik.

Deney: Akıllı saat hareketleriyle parola açığa çıkarılabilir mi?

Android tabanlı bir akıllı saatle başladık, ivme verilerini işlemek ve iletmek için ortalama düzeyde bir uygulama yazıp bu verilerden neler alabileceğimizin analizini yaptık. Daha fazla ayrıntı için tam raporumuza bakın.

Veriler gerçekten de kullanıcının yürüdüğünü veya oturduğunu anlamak için kullanılabiliyor. Dahası, daha derine inip kişinin yürüyüşe çıkıp çıkmadığı veya tramvay aktarması yapıp yapmadığını da anlamak mümkün: ivme ölçer kalıpları biraz farklı oluyor; bu da fitness izleyicilerinin nasıl yürüyüş ve bisiklete binme farkını ayırt ettiğini gösteriyor.

Kişinin bilgisayarda bir şeyler yazdığını görmek de oldukça kolay. ancak ne yazıldığını anlamaya çalışmak biraz daha karmaşık. Herkesin kendine has bir yazma tarzı var: on parmak yöntemi, bir veya iki haneli klavye basımı ya da ikisinin arasında bir şey. Temelde, farklı insanların aynı ifadeyi yazmaları çok farklı ivme ölçer sinyallerine neden olabilir; öte yandan bir kişinin birkaç kez üst üste bir parolayı girmesi oldukça benzer grafikler üretecektir.

Yani, belirli bir kişinin bir metni nasıl girdiğini tanıması için eğitilmiş bir sinir ağı, o kişinin ne yazdığını anlayabilir. Bu sinir ağı sizin özel yazma türünüze özel çalışırsa, bileğinizdeki akıllı saatten alınan ivme ölçer verisi, elinizin hareketlerine dayanarak parola tanımak için kullanılabilir.
Ancak, sinir ağının eğitim süreci, sizi uzunca bir süre boyunca izlemesini gerektirir. Modern taşınabilir cihazlarda bulunan işlemciler, doğrudan bir sinir ağını çalıştıracak kadar güçlü değildir, bu yüzden de verilerin bir sunucuya gönderilmesi gerekir.

İşte, sözde casus için sorun tam da burada yatıyor: İvme ölçer okumalarının sürekli yüklenmesi, oldukça yüklü bir internet trafiği tüketimine neden olur ve akıllı saatin pilini birkaç saat içinde bitirir (bizim örneğimizde tam olarak altı). Bu iki gösterge de kolaylıkla fark edilebilir ve kullanıcıya bir şeylerin ters gittiğinin uyarısını verebilir. Bununla beraber ikisi de verilerin titizlikle toplanması ile kolaylıkla minimize edilebilir, örneğin hedef işe gittiğinde muhtemelen parola girecektir.

Kısaca, akıllı saatiniz ne yazdığınızı tanımlamak için kullanılabilir. Fakat bu, kolay değildir ve kesin tanımlama için tekrar metin girişi gerekir. Deneyimizde bir bilgisayar parolasını %96 doğruluk oranıyla, ATM’ye girilen PIN kodunu ise %87 doğruluk oranıyla almayı başarabildik.

Daha kötüsü de olabilirdi

Öte yandan siber suçlular için bu tür veriler hiç de yararlı değildir. Bunu kullanmak için bilgisayarınıza veya kredi kartınıza erişmeleri gerekir. Kart numarası veya CVC kodunu belirlemek fazlasıyla zorlayıcıdır.

Neden mi? İş yerine geri döndüğünde akıllı saat kullanıcısının ilk yazdığı şey neredeyse her zaman bilgisayar parolası oluyor. Bu da ivme ölçerin önce yürüyüş, daha sonra ise yazma hızını göstermesi anlamına gelir. Bu kısa süre içinde elde edilen verilere dayanarak parolayı almak mümkündür.

Fakat söz konusu kişi oturduğu an kredi kartı numarasını girmeyecektir veya bu veriyi girdikten hemen sonra kalkıp yürümeye başlamayacaktır. Dahası, kimse asla bu bilgiyi kısa süre içinde birkaç kez girmeyecektir.

Akıllı telefondan veri girişi bilgisini çalmak için saldırganların tahmin edilebilir eylemle beraber birkaç kez girilen veriye ihtiyacı vardır. İkinci kısım ise tesadüfen de olsa aynı şifreyi farklı hizmetler için kullanmamak için bir başka nedendir.

Kimler akıllı saatler için endişelenmeli?

Araştırmamız, akıllı saat ivme sensörünün kullanıcı hakkında bilgi edinmek için kullanılabileceğini göstermiştir: hareketler, alışkanlıklar, bazı yazılı bilgiler (örneğin, dizüstü bilgisayar parolası).

Siber suçluların bu bilgileri edinmesine olanak tanıyan veri alıcıları içeren kötü amaçlı yazılımları akıllı saatlere bulaştırmak oldukça kolaydır. Tek yapmaları gereken bir uygulama oluşturup (mesela şık bir saat kadranı veya fitness izleyici) ivme ölçer verisini okuyacak bir fonksiyon ekleyerek bunu Google Play’e yüklemek. Teoride böyle bir uygulama kötü amaçlı yazılım testini geçecektir, keza yaptığı şeyde kötü niyetli hiçbir şey yoktur.

Bu tekniği kullanan biri tarafından izlendiğinizden endişe duymalı mısınız? Yalnızca birinin özellikle sizi gizlice takip etmesi için güçlü bir motivasyonu varsa. Ortalama bir siber dolandırıcı, kolay kazanmanın peşindedir ve kazanacağı çok şey yoktur.

Fakat bilgisayar parolanız veya ofise giden yolunuz biri için önem arz ediyorsa akıllı saat uygulanabilir bir izleme cihazıdır. Bu durumda tavsiyemiz:

  • Akıllı saatiniz fazlasıyla trafik oluşturuyor ve pili hızla tükeniyorsa dikkat edin.
  • Uygulamalara çok fazla izin vermeyin. Özellikle de uygulamalar hesap bilgisi ve coğrafi koordinatları almak istiyorsa dikkatli olun. Bu veriler olmadan saldırganlar bulaştırdıkları akıllı saatin size ait olduğundan emin olmakta zorluk çeker.
  • Casus yazılımların, casusluğa başlamadan önce tespit edilmesini sağlamak için akıllı cihazınıza bir güvenlik çözümü yükleyin.