Tendenze scientifiche: Fitness tracker e insicurezza dei dati personali

Gli ultimi gadget di auto-tracciamento per la salute, o fitness tracker, continuano ad offrirci giornalmente dati sulla nostra posizione, attività, esercizio fisico, ritmo cardiaco, peso, alimentazione e conteggio dei passi. Hanno sempre più funzioni interattive come blog per gli utenti e formazione di gruppi con cui competere. Per chi scrive – appassionato di corsa prima di diventare padre di due gemelli – la tecnologia offre l’opportunità di auto-guidarsi sulla via di un lento recupero verso il ritorno a una vita sana e attiva.

Ricevere dati condivisi e tracciati però potrebbe avere un prezzo alto. La protezione dei nostri dati personali potrebbe risultarne esposta, è quanto sostiene il team di ricerca dell’Università di Edimburgo. Questi ricercatori mostrano che esistono significative falle nella sicurezza dei dati nel modo in cui questi dati personali sono registrati, comunicati e condivisi, anche se usati in modo innocente. Questi gadget di fitness tracking hanno punti deboli per quanto riguarda la sicurezza che terze parti potrebbero usare a loro vantaggio e a nostre spese.

In collaborazione con la Technische Universitat Darmstadt, in Germania, e con l’Università degli Studi di Padova, in Italia, il team di ricerca dell’Università di Edimburgo ha svolto un’analisi di sicurezza approfondita e dei test di fitness su due popolari modelli di fitness tracker indossabili prodotti da Fitbit. I risultati hanno illustrato in che modo il sistema che tiene i dati sui dispositivi al sicuro – chiamato criptazione end-to-end – può in realtà essere aggirato. Il team ha trovato modi di intercettare messaggi trasmessi tra fitness tracker e server cloud – dove i dati sono inviati per l’analisi. Questo ha permesso loro di accedere a informazioni personali e creare false registrazioni di attività. In effetti, smantellando i dispositivi e modificando le informazioni conservate nella loro memoria, i ricercatori sono riusciti ad aggirare il sistema di criptazione e ottenere l’accesso a dati privati che prima erano stati memorizzati e messi al sicuro.

Di conseguenza, per gli utenti questo significa che se tali fragilità arrivano nelle mani sbagliate, i nostri dati privati potrebbero essere venduti, usati a fini di estorsione e manipolati. Per esempio, i dati condivisi con agenzie di marketing e rivenditori online potrebbero essere usati da imbroglioni per fornire dati sanitari falsi e ricevere una copertura assicurativa più economica che premia l’attività fisica e la vita sana.

Il dott. Paul Patras, che ha partecipato allo studio della Facoltà di informatica dell’Università di Edimburgo, sottolinea, “Il nostro lavoro dimostra che le misure di sicurezza e protezione della privacy implementate in popolari dispositivi indossabili continuano a essere in ritardo rispetto allo sviluppo di nuove tecnologie”. Il dott. Patras ha partecipato anche al progetto FLAVIA (2010-2013), finanziato dall’UE, che ha messo in luce l’importanza di aggiornare costantemente il funzionamento delle reti wireless.

Per assicurarsi che i dati personali degli utenti rimangano privati e sicuri, i ricercatori adesso stanno condividendo importanti linee guida per aiutare i produttori a riparare i difetti in gadget e applicazioni in modo che siano più sicuri e non esposti a potenziali nuovi attacchi in futuro.

In risposta a questi risultati, Fitbit sta adesso cominciando a progettare un software per migliorare la privacy e la sicurezza dei suoi dispositivi.

“Siamo contenti di come Fitbit ha accolto i nostri risultati, il loro atteggiamento professionale verso la comprensione delle vulnerabilità che abbiamo identificato e il tempismo con cui hanno migliorato i servizi interessati,” ha detto il dott. Patras.

Solo il tempo potrà dirci se i fitness tracker sono in forma e si allenano regolarmente per tenere il passo con le ultime minacce in termini di sicurezza in modo da diventare campioni di sicurezza dei dati personali.