Advarer mot usikre smartklokker
Mens smartklokkene langsomt siver inn på markedet, er utfordringene mange. HP har testet ti smartklokker med begredelige resultater for sikkerhet og personvern.
I en fersk rapport advarer HP mot sikkerheten i smartklokker. De hverken verner brukerdata mot tyveri eller crackere i å bryte seg inn.
Advarer produsentene
Det er sikkerhetsdivisjonen til HP som har testet 10 populære smartklokker. Presumptivt betyr det smartklokker som faktisk er solgt i noe omfang, men hverken merker eller utvalgskriterier er kjent.
– Vi er i ferd med å varsle leverandørene av disse smartklokkene om sikkerhetshull og svakheter vi fant, og kan derfor ikke gå ut med å fortelle hvilke klokker vi har testet før det er gjort, sier Daniel Miessler, en av lederne for undersøkelsen til PC World US.
I tillegg til selve klokkene, har også økosystemet rundt med nettsider og apper blitt sjekket. Tilgangen til klokkene og informasjonen der går gjennom slike systemer. Hvordan informasjonen klokkene samler inn sikres og brukes var et annet mål for rapporten.
Sikkerhetshull overalt
Alle klokkene hadde svakheter med brukerautentisering, datakryptering og personvern, for å nevne noe.
Bare halvparten av smartklokkene kunne låse skjermen for å hindre innsyn eller ta over identiteten til eieren.
Kommunikasjon videre var et annet problem. Dårlige eller fraværende krypteringsprotokoller innebærer at personlige data overføres til skyen med lav eller ingen sikkerhet, og gode innsynsmuligheter for fremmede.
Tre av de testete klokkene hadde nettapplikasjoner og mobilapper som ga tilgang til smartklokken. Ingen av disse løsningene hadde sikker tilgang med gode passord eller to-faktorautentiseing.
Hype, ikke fornuft
HP-rapporten stiller spørsmålet om det er klart for eiere og brukere hvor mye data smartklokkene samler inn, hvordan de brukes og at de som regel sprer disse dataene for lagring på en hel drøss med servere i skyen. Kombinert med lav sikkerhet i overføring, gir det en nysgjerrig kriminell flere muligheter: Avlytte en usikret overføring, eller angripe en server der data er lagret.
– Noen av stedene slike data lagres er knyttet til analyse og optimering av annonse- og markedsføring, advarer Miessler.
Utfordringen er at disse smartenhetene samler inn data om personlig helse som puls, aktivitet og diett, og har eierinformasjon som navn, adresse og i beste fall fødselsdato. Alt sentralt for en identitetstyv eller det som verre er.
Samtidig er det mange av de nye eierne som behandler klokka som en ordinær, «dum», klokke hvor den største eierne har er batterilevetid eller at naboen ikke skal få med seg hvor dyr klokke de har. At de har festet en personlig datamaskin til håndleddet som samler inn og veit veldig mye om eieren er ikke helt sunket inn.
Varsler om verre tider
Rapporten regner med at smartklokkene kommer til å bli velkomne mål for angrep av crackere når de blir mer utbredt. Legg til at flere vil legge inn informasjon for å lette netthandel eller apper som for eksempel låser opp dører. Da blir de virkelig «gefundene fressen» for datakyndige kriminelle.
– Brukerne tenker ikke sikkerhet eller hvordan personlige data brukes når de kjøper slike smartklokker. De ser etter funksjoner, som helse- og treningsapper, og annen moro, sier Miessler.
– Eierne er mest opptatt av hvilke type helsedata som smartklokka kan levere, ikke hvor disse helsedataene blir sendt, brukt eller lagret.
Kritikken kommer på toppen av gjennomgående lunkne anmeldelser av de fleste smartklokkene etter noen år på markedet. Til og med nykommeren Apple Watch må tåle lunken mottakelse. Dette ledsages av mistanker om salgsflopp etter at selskapet mot normalt ikke markedsfører salgstall som bevis for at deres variant er den beste oppfinnelsen siden nybakt brød.