Comunicação dos aparelhos analisados pode ser interceptada com técnicas triviais, diz empresa. Sete deles não apresentaram qualquer serviço de criptografia.
O design de segurança dos smartwatches é pobre e complacente. Essa foi a conclusão do estudo da HP Fortify, que testou os 10 principais aparelhos do setor sem especificar suas marcas. Segundo a empresa, a maior falha dos dispositivos é sua projeção voltada ao emparelhamento e à comunicação com smartphones, onde se inicia a maior parte dos problemas de segurança.
Todos os relógios inteligentes testados apresentaram falhas de segurança, sobretudo nas áreas de criptografia e autenticação, além de fornecerem pouca clareza quanto aos dados que coletam de seus donos.
De acordo com o estudo, a comunicação de nove dos 10 aparelhos pode ser interceptada com técnicas triviais, com sete deles não apresentando qualquer criptografia na transmissão de atualizações de firmware.
Os problemas se expandem para as conexões em nuvem e contas usadas: quatro produtos rodam servidores SSL/TLS sem o patch da falha Poodle (identificada no começo do ano) e três permitem o uso de senhas fracas.
Nenhum dos 10 smartwatches analisados contém bloqueio de conta (deixando as associadas a ele vulneráveis a ataques de força bruta) e apenas metade apresenta bloqueio de tela.
A lista da HP continua, incluindo a revelação de que um dos produtos inclui um servidor DNS funcional. Na teoria, ele poderia ser usado como parte de um ataque de amplificação DNS.
A maioria dos aparelhos reúne dados pessoais como nome, endereço, data nascimento, gênero e batimentos cardíacos e não se sabe quantos e quais deles acabam nas mãos de terceiros.
“Os smartwatches integram nossas vidas há pouco tempo, mas entregam um novo nível de funcionalidade que poderia abrir a porta para novas ameaças a informações e atividades sensíveis”, explicou o gerente geral da HP Security, Jason Schmidt.
Para ele, com o aumento na adoção de smartwatches, a plataforma se tornará mais atraente aos interessados em abusar do acesso, tornando imperativa a tomada de precauções para a transmissão de dados pessoais e conexão dos dispositivos em redes corporativas.
Ainda é cedo para se preocupar com as implicações dos aparelhos para a segurança organizacional, mas o aviso dado é claro: os atuais produtos são imaturos e os smartwatches têm um longo caminho a percorrer até alcançarem o nível recomendado de segurança.
Até lá, a HP aconselha que os usuários não emparelhem seus dispositivos com aparelhos desconhecidos, que estabeleçam senhas seguras e desabilitem o acesso a redes sem autenticação de alto padrão.