Quanto sono sicuri i nostri smartwatch?
Le caratteristiche di sicurezza degli smartwatch più popolari sul mercato non sono all’altezza. È questo in sintesi il risultato al quale è giunta una recente ricerca di Trend Micro condotta ad agosto in partnership con First Base Technologies. Lo studio si è incentrato sui difetti di sicurezza negli smartwatch dei sei maggiori brand sul mercato per stabilire quali fossero i maggiori rischi per i consumatori, testando caratteristiche come la protezione fisica, le connessioni dati e il modo in cui le informazioni vengono salvate nei dispositivi.
Sul versante Android Wear sono stati presi in considerazione il Motorola 360, l’LG G Watch, il Sony Smartwatch 3, il Samsung Gear Live e l’Asus Zen Watch, ai quali si sono aggiunti l’Apple Watch (con il suo sistema operativo watch OS) e Pebble (Pebble OS). Tutti i dispositivi sono stati associati via Bluetooth a un iPhone 5, a un Motorola X e a un Nexus 5.
La protezione fisica di tutti gli smartwatch è risultata piuttosto carente, in quanto nessuno di essi aveva un’autenticazione via password o di altro tipo abilitata di default. Tale mancanza, a differenza di quanto accade con smartphone e tablet, permetterebbe il libero accesso al dispositivo in caso di furto. Tutti gli smartwatch, escluso l’Apple Watch, non sono inoltre previsti della funzione time-out. Questo significa che la password deve essere attivata manualmente premendo un pulsante.
l’Apple Watch rimane comunque l’unico wearable che permette di “pulire” il device dopo una serie di tentativi di login falliti
Nonostante abbia funzioni di sicurezza migliori rispetto ai rivali Android Wear o Pebble, l’Apple Watch contiene il volume maggiore di dati sensibili salvati localmente ed è quindi più a rischio proprio in caso di furto. Tutti gli smartwatch testati salvano comunque copie locali dei dati, ai quali si può accedere attraverso l’interfaccia se ci si allontana dallo smartphone associato. Questo significa che i dati possono diventare accessibili in caso di compromissione del dispositivo. Tutti i dispositivi salvano le notifiche non lette, eccetto Pebble, così come i dati di fitness e di calendario.
Come nota positiva l’Apple Watch rimane comunque l’unico wearable che permette di “pulire” il device dopo una serie di tentativi di login falliti. La funzione “dispositivo di fiducia” di Android, che rimuove il blocco password dello smartphone associato quando i dispositivi sono vicini, significa che potenzialmente chiunque sia in possesso di uno smartphone e di uno smartwatch può accedere a entrambi i dispositivi.
“In seguito ai test, è chiaro che i produttori hanno privilegiato le caratteristiche di comodità rispetto a quelle di sicurezza. A prima vista, la mancanza di procedure di autenticazione può far sembrare i dispositivi più facili da utilizzare, ma il rischio di veder compromessi i propri dati o quelli aziendali è una questione troppo seria per dimenticarsene. I produttori devono assicurare delle caratteristiche di sicurezza base di default” ha dichiarato Bharat Mistry, Cyber Security Consultant di Trend Micro.