Säkerhetsfunktionerna hos några av marknadens mest populära smarta klockor har flera kritiska brister, det visar en studie av IT-säkerhetsföretaget Trend Micro och First Base Technologies.
Studien, som tar reda på vilka risker konsumenterna utsätter sig för vid användning av smarta klockor, bestod av tester i kategorierna fysiskt skydd mot dataintrång, dataöverföringar och sparad information.
“Det framgår tydligt att utvecklarna prioriterar användarvänlighet över säkerhet”, säger Bharat Mistry, konsult för IT-säkerhet hos Trend Micro.
Under studien utvärderades säkerheten hos Apple Watch och Pebble samt de Android-baserade klockorna Motorola 360, LG G Watch, Sony Smartwatch, Samsung Gear Live och Asus Zen Watch. Alla sex enheter installerades med de senaste operativsystemen innan de anslöt trådlöst till smarttelefonerna iPhone 5, Motorola X och Nexus 5.
Studien upptäckte säkerhetsbrister hos samtliga av produkterna som testades i undersökningen. De smarta klockorna testades i kategorierna fysiskt skydd mot dataintrång, dataöverföringar och sparad information i syftet att identifiera vilka brister som utgör det största hotet för användarnas integritet.
De fysiska låsfunktionerna som ska förhindra att utomstående får tillgång till enheten visade sig vara ett av områdena där de smarta klockorna brister. Ingen av modellerna krävde att ett lösenord aktiverades, trots att funktionen finns där, vilket gör att användaren aktivt måste aktivera funktionen. Av alla modeller var det bara Apple Watch som hade en så kallad timeout-funktion som låser enheten och gör datan otillgänglig för obehöriga.
Trots att Apples säkerhetsinställningar visades vara säkrare än rivalernas var det just Apple Watch som sparade den största mängden känslig information om användaren som till exempel bilder, kontakter och passbook-data (biljetter och andra typer av bokningar). Samtliga enheter sparade även kalender- och fitness-data lokalt, data som kan bli tillgänglig för obehöriga om den trådlösa anslutningen till smartphonen bryts – och om inte säkerhetsinställningar har aktiverats. Alla klockorna, förutom Pebble, sparade även användarens olästa notifikationer.
Apple Watch var den enda klockan i undersökningen som ger möjlighet till en wipe av data efter ett givet antal misslyckade inloggningsförsök, vilket innebär att den aktuella datan blir oläsbar. Bharat Mistry på Trend Micro ser allvarligt på bristerna som upptäcktes under studien:
“Producenterna måste se till att enkla säkerhetsfunktioner är aktiverade som standardinställning. Det kan verka som frånvaron av grundläggande säkerhetsinställningar kan öka produktens användarvänlighet, men risken som uppstår i samband med att person- eller företagsdata sparas på användarnas smartphones är för allvarliga för att ignoreras”.
Mistry får stöd av Mike McLaughlin på First Base Technologies som uppmanar producenter att genom enkla grepp ta ansvar för konsumentens integritet.
“Google och Apple har applicerat avancerade krypteringar på sina Bluetooth och Wi-Fi-uppkopplingar; men om någon skulle stjäla en smartklocka utan aktiverat lösenord, skulle personen ifråga lätt kunna komma åt den sparade datan. Som med all teknologi är den största risken att någon obehörig får fysisk tillgång till din smartklocka. Producenterna borde se till att de elementära säkerhetsinställningarna är på plats redan vid aktivering, någonting som hade gjort klockorna mycket säkrare”.