“Γκρίζες ζώνες” σε θέματα ασφαλείας στην ηλεκτρονική καταγραφή της καθημερινότητας μας, το λεγόμενο self-tracking ή life logging, εντοπίζουν οι ερευνητές. Σε μια εποχή, που οι λάτρεις της ηλεκτρονικής καταγραφής της ζωής τους, δημιουργούν ένα χείμαρρο από προσωπικές πληροφορίες, μέσω εφαρμογών και συσκευών, όπως αποδεικνύεται, τα δεδομένα δεν είναι ασφαλή από τα αδιάκριτα βλέμματα. Για παράδειγμα, έρευνα της Symantec κατέγραψε σημαντικά ρίσκα στην ασφάλεια σε ικανό αριθμό self-tracking συσκευών και εφαρμογών, καθώς, μεταξύ άλλων, διαπίστωσε ότι όλες οι wearable συσκευές δραστηριοτήτων που εξετάστηκαν - συμπεριλαμβανομένων και ορισμένων κορυφαίων brands - είναι ευπαθείς στον εντοπισμό τοποθεσίας (location tracking).



Επιπλέον, ζητήματα ασφαλείας προκύπτουν και κατά τη μετάδοση προσωπικών δεδομένων και πληροφοριών εντοπισμού σε μορφή κείμενου, καθώς, το 20% των εφαρμογών μεταδίδουν credentials του χρήστη, χωρίς να έχουν κρυπτογραφηθεί. Στο μεταξύ, σύμφωνα με την έρευνα, παρατηρείται έλλειψη πολιτικών ιδιωτικότητας, καθώς το 52% των εφαρμογών self-tracking, που εξετάστηκαν, δεν έχουν αντίστοιχη πολιτική ιδιωτικότητας.

Τα self-tracking συστήματα
Πολλοί άνθρωποι, που ασχολούνται με το self-tracking, το εφαρμόζουν με gadgets, όπως τα ηλεκτρονικά περικάρπια, τα έξυπνα ρολόγια, pendants, ακόμη και "έξυπνα" ρούχα. Αυτά τα gadgets τυπικά περιέχουν μια σειρά από sensors, έναν επεξεργαστή, μνήμη και ένα περιβάλλον επικοινωνίας (communication interface). Αυτά τα gadgets επιτρέπουν στο χρήστη να συλλέγει, να αποθηκεύει και να μεταδίδει τα δεδομένα του, χωρίς κόπο, σε άλλο υπολογιστή για επεξεργασία και ανάλυση.
Παρά την αυξανόμενη χρήση των ειδικά σχεδιασμένων gadgets, τα smartphones είναι, ίσως, τα πιο κοινά εργαλεία, που οι άνθρωποι χρησιμοποιούν για να πραγματοποιήσουν το self-tracking. Ένα σύγχρονο smartphone είναι εξοπλισμένο με μία ευρεία γκάμα από διαφορετικούς sensors, που μπορούν να χρησιμοποιηθούν για μία σειρά από self-tracking εφαρμογές. Οι περισσότεροι έχουν πάντα μαζί τους τα κινητά τους τηλέφωνα και η πληθώρα των δωρεάν self-tracking εφαρμογών, καθιστά πιο εύκολο από ποτέ για τους χρήστες να κάνουν self-tracking.
Για να ξεκινήσουν το self-tracking, οι χρήστες απλά επιλέγουν από την ευρεία γκάμα εφαρμογών που βρίσκονται διαθέσιμα στα app markets, εγκαθιστούν μία από αυτές, εγγράφονται σε αυτή και ξεκινούν το tracking. Στο τέλος κάθε συνεδρίας, ο χρήστης μπορεί να ανατρέξει και να συγχρονίσει τα δεδομένα που έχουν συλλεχθεί σε ένα cloud-based server για αποθήκευση.



Eντοπισμός θέσης wearable συσκευών
Από την καταγραφή της εταιρείας προέκυψε ότι όλες οι wearable συσκευές εντοπισμού δραστηριότητας μπορούν να εντοπιστούν μέσω πρωτοκόλλων ασύρματης μετάδοσης. Υπάρχουν πολλές wearable συσκευές παρακολούθησης αθλητικών δραστηριοτήτων στην αγορά. Αυτές οι συσκευές, γενικώς, περιέχουν sensors για να εντοπίζουν την κίνηση, αλλά οι περισσότεροι δεν είναι σχεδιασμένοι για εντοπισμό θέσης. Τα δεδομένα, που συλλέγονται από αυτές τις συσκευές, πρέπει να συγχρονίζονται με άλλη συσκευή ή υπολογιστή, έτσι ώστε να μπορεί να γίνει επεξεργασία. Για ευκολία, πολλοί κατασκευαστές χρησιμοποιούν Bluetooth Χαμηλής Ενέργειας για να επιτρέψουν στη συσκευή να συγχρονίσει ασύρματα τα δεδομένα με ένα smartphone ή υπολογιστή. Αυτή η ευκολία έχει, όμως, ένα τίμημα, καθώς η συσκευή μπορεί να δίνει πληροφορίες, που να επιτρέπουν τον εντοπισμό από μία τοποθεσία σε μία άλλη.

Τα αποτελέσματα της έρευνας δείχνουν ότι οι κατασκευαστές αυτών των συσκευών (συμπεριλαμβανομένων και των κορυφαίων στην αγορά) δεν έχουν σκεφτεί σοβαρά πώς θα αντιμετωπίσουν τα ζητήματα ιδιωτικότητας των προϊόντων αυτών. Η Symantec προειδοποιεί ότι είναι πιθανό κλέφτες ή κάποιοι, που μας παρακολουθούν, να χρησιμοποιήσουν τις πληροφορίες εντοπισμού θέσης για κακόβουλο σκοπό.

Περί κρυπτογράφησης
Ζητήματα ανακύπτουν και κατά τη μετάδοση προσωπικών δεδομένων και πληροφοριών εντοπισμού σε μορφή κείμενου, καθώς, από την έρευνα της εταιρείας, προέκυψε ότι το 20% των εφαρμογών μεταδίδουν credentials του χρήστη χωρίς να έχουν κρυπτογραφηθεί.
Πέρα από απλή αποθήκευση των δεδομένων των δραστηριοτήτων, ορισμένες υπηρεσίες συλλέγουν επιπλέον προσωπικές πληροφορίες, όπως ημερομηνία γέννησης, διεύθυνση, φωτογραφίες και άλλα στατιστικά. Για την αποφυγή μη εξουσιοδοτημένης πρόσβασης στα δεδομένα του χρήστη, αυτές οι υπηρεσίες ζητούν δημιουργία λογαριασμού από τους χρήστες, που θα προστατεύονται με user name και password.
Η εταιρεία παρατήρησε ότι ένα απαράδεκτα μεγάλο ποσοστό αυτών των εφαρμογών δεν χειρίζονται τα ευαίσθητα δεδομένα, όπως user names (π.χ. email διευθύνσεις) και passwords, με ασφάλεια. Πολλά από αυτά μεταδίδουν δεδομένα που έχουν δημιουργηθεί από τους χρήστες, όπως login credentials, μέσω ενός μη ασφαλούς μέσου όπως το διαδίκτυο, χωρίς καμία προσπάθεια προστασίας του (π.χ. μέσω κρυπτογράφησης). Αυτό σημαίνει ότι τα δεδομένα μπορούν εύκολα να υποκλαπούν και να διαβαστούν από τους επιτιθέμενους.

Έλλειψη πολιτικών ιδιωτικότητας
Επιπρόσθετα, το 52% των εφαρμογών που εξετάστηκαν δεν διαθέτουν πολιτική ιδιωτικότητας. Οι εφαρμογές self-tracking, από τη φύση τους, έχουν δημιουργηθεί για να συλλέγουν και να αναλύουν προσωπικές πληροφορίες. Παρά την σπουδαιότητα ύπαρξης μίας πολιτικής ιδιωτικότητας, η πλειονότητα των εφαρμογών δεν είχαν καμία. Όπως παρατηρεί η Symantec, η έλλειψη πολιτικής είναι μία πιθανή ένδειξη για το πώς οι πάροχοι υπηρεσιών και εφαρμογών self-tracking χειρίζονται το θέμα της ασφάλειας. Οι χρήστες πρέπει να είναι καλά πληροφορημένοι και να το λάβουν αυτό υπόψη πριν εγγραφούν σε αυτές τις υπηρεσίες.

Ακούσια διαρροή δεδομένων
Μείζον θέμα συνιστά και η ακούσια διαρροή δεδομένων. Σύμφωνα με την έρευνα, ο μέγιστος αριθμός μοναδικών domains, που ήρθε σε επαφή μία μόνο εφαρμογή, ήταν 14 και ο μέσος όρος ήταν 5. Όπως παρατηρεί η Symantec, ενώ είναι κατανοητό ότι οι εφαρμογές μπορεί να χρειάζεται να επικοινωνήσουν με ένα μικρό αριθμό domains, ώστε να μπορούν να μεταδώσουν τα συλλεχθέντα δεδομένα, μπορεί να προκαλέσει έκπληξη ότι σημαντικός αριθμός εφαρμογών έρχονται σε επαφή με 10 ή περισσότερα διαφορετικά domains για διάφορους σκοπούς. Πολλές από τις εφαρμογές δίνουν αναφορά σε υπηρεσίες ανάλυσης, ενώ άλλες χρησιμοποιούν αυτά τα analytics για να εξετάσουν την απόδοση της εφαρμογής για τυχόν θέματα αστοχίας της. “Παρά τις καλές προθέσεις των developers των εφαρμογών, οι πληροφορίες για τις δραστηριότητες των χρηστών μπορούν να αποκαλυφθούν με τον πιο απίθανο τρόπο, χάρη στο πως η εφαρμογή χρησιμοποιεί υπηρεσίες τρίτων. Υπάρχουν μία σειρά από ενδεικτικά παραδείγματα, όπου η εφαρμογή μπορεί ακουσίως να διαρρεύσει τα δεδομένα” , αναφέρει η έρευνα.

Πόσο ασφαλής είναι η ηλεκτρονική καταγραφή της ζωής σας;

Εντοπισμός και παρακολούθηση της δραστηριότητας μέσω των wearable gadgets
Οι λάτρεις της ηλεκτρονικής καταγραφής της ζωής τους, δημιουργούν ένα χείμαρρο με τις προσωπικές τους πληροφορίες, μέσω εφαρμογών και συσκευών. Είναι αυτά τα δεδομένα ασφαλή από τα αδιάκριτα βλέμματα;

Κάθε μέρα, εκατομμύρια άνθρωποι, παγκοσμίως, καταγράφουν κάθε άποψη της ζωής τους, τις σκέψεις τους, τις εμπειρίες τους και τα κατορθώματα των δραστηριοτήτων τους (γνωστό και ως self-tracking ή life logging). Τα άτομα που ασχολούνται με το self-tracking, το κάνουν για διάφορους λόγους. Δεδομένου του όγκου των προσωπικών δεδομένων που δημιουργούνται, μεταδίδονται και αποθηκεύονται σε διάφορα σημεία, η ιδιωτικότητα και η ασφάλεια αποτελούν σημαντικά ζητήματα για τους χρήστες αυτών των συσκευών και των εφαρμογών.
Η Symantec ανακάλυψε ρίσκα στην ασφάλεια σε σημαντικό αριθμό self-tracking συσκευών και εφαρμογών. Ένα από τα σημαντικά ευρήματα ήταν ότι όλες αυτές οι wearable συσκευές δραστηριοτήτων που εξετάστηκαν, συμπεριλαμβανομένων και ορισμένων κορυφαίων brands, είναι ευπαθείς στον εντοπισμό τοποθεσίας (location tracking).

Οι ερευνητές δημιούργησαν μια σειρά συσκευών σάρωσης χρησιμοποιώντας τα Raspberry Pi minicomputers και τοποθετώντας τα σε αθλητικές εκδηλώσεις και πολυσύχναστα δημόσια μέρη, ανακάλυψαν ότι ο εντοπισμός των ατόμων ήταν πιθανός και εφικτός.
Η Symantec βρήκε ευπάθειες σχετικά με το πως τα προσωπικά δεδομένα αποθηκεύονται και πως γίνεται η διαχείριση τους, όπως για παράδειγμα η μη κρυπτογραφημένη μεταφορά κωδικών και η ελλιπής διαχείριση των sessions κατά τη σύνδεση των εφαρμογων με τους servers.

Πως δουλεύουν τα self-tracking συστήματα;
Πολλοί άνθρωποι, που ασχολούνται με το self-tracking, το εφαρμόζουν με gadgets, όπως τα ηλεκτρονικά περικάρπια, τα έξυπνα ρολόγια, pendants, ακόμη και "έξυπνα" ρούχα. Αυτά τα gadgets τυπικά περιέχουν μια σειρά από sensors, έναν επεξεργαστή, μνήμη και ένα περιβάλλον επικοινωνίας (communication interface). Αυτά τα gadgets επιτρέπουν στον χρήστη να συλλέγει, να αποθηκεύει, και να μεταδίδει τα δεδομένα του, χωρίς κόπο, σε άλλο υπολογιστή για επεξεργασία και ανάλυση.

Εικόνα 1. Τι περιλαμβάνει μία τυπική συσκευή καταγραφής

Παρά την αυξανόμενη χρήση των ειδικά σχεδιασμένων gadgets, τα smartphones είναι, ίσως, τα πιο κοινά εργαλεία, που οι άνθρωποι χρησιμοποιούν για να πραγματοποιήσουν το self-tracking. Ένα σύγχρονο smartphone είναι εξοπλισμένο με μία ευρεία γκάμα από διαφορετικούς sensors που μπορούν να χρησιμοποιηθούν για μία σειρά από self-tracking εφαρμογές. Οι περισσότεροι έχουν πάντα μαζί τους τα κινητά τους τηλέφωνα και η πληθώρα των δωρεάν self-tracking εφαρμογών, καθιστά πιο εύκολο από ποτέ για τους χρήστες να κάνουν self-tracking.

Εικόνα 2. Σύγχρονα smartphones διαθέτουν μια σειρά από sensors

Για να ξεκινήσουν το self-tracking, οι χρήστες απλά επιλέγουν από την ευρεία γκάμα εφαρμογών που βρίσκονται διαθέσιμα στα app markets, εγκαθιστούν μία από αυτές, εγγράφονται σε αυτή και ξεκινούν το tracking. Στο τέλος κάθε συνεδρίας, ο χρήστης μπορεί να ανατρέξει και να συγχρονίσει τα δεδομένα που έχουν συλλεχθεί σε ένα cloud-based server για αποθήκευση.

Νατάσα Φραγκούλη