Quello dei dispositivi wearable , i gadget indossabili intelligenti come smartwatch e fitness tracker, è uno dei settori più in ascesa della Internet of Things . E come ogni tecnologia iperconnessa, non è immune ai rischi in termini di sicurezza , come suggerito da più parti . In una nuova ricerca condotta dai ricercatori statunitensi dallo Stevens Institute of Technology e della Binghamton University è stato identificato un nuovo metodo di analisi dei dati prodotti da giroscopi, accelerometri e magnetometri inclusi in quasi ogni smartwatch, una tecnica che è in grado di “dedurre le distanze percorse dalle dita della mano con un livello di precisione millimetrica”, più che sufficiente a ricostruire un qualsiasi codice di accesso digitato su un tastierino numerico .
Nello sviluppo dell’algoritmo i ricercatori si sono avvalsi dei dati ricavati da 5000 immissioni di esempio eseguite da 20 volontari che hanno indossato 2 smartwatch disponibili sul mercato ( Moto 360 e LG W150 ), oltre ad un dispositivo di motion tracking a 9 assi. L’estrazione dei dati è stata realizzata simulando le possibilità concrete a disposizione di un attaccante che voglia apprendere i dati digitati: un firmware malevolo caricato sul dispositivo oppure uno sniffer di pacchetti wireless che intercetti i dati diretti dallo smartwatch ad un altro dispositivo come lo smartphone.
Per neutralizzare i tanti microerrori di calcolo dovuti alla diversità di posizioni di partenza della mano e alla variabilità nelle accelerazioni, è stato utilizzato un calcolo a ritroso che sfrutta la certezza del punto di riferimento finale (il tasto “Invio” del keypad) identificando le cifre al contrario, con risultati molto migliori rispetto alla valutazione in ordine di digitazione. Quanto migliori ? Deduzioni corrette al primo tentativo nell’80 per cento dei casi, fino al 90 per cento entro tre tentativi , quelli tipicamente a disposizione prima del blocco della scheda.
Il metodo ha potenzialità per essere esteso a tutto ciò che può essere digitato su una tastiera QWERTY. Tra le possibili contromisure menzionate dagli stessi ricercatori , c’è mandare in confusione i sensori scuotendo la mano tra un tasto e l’altro. Ancora meglio, usare la mano priva di smartwatch per digitare il codice. La risoluzione reale del problema richiederà però l’impegno dei produttori nel crittografare i dati prodotti dai sensori, sia quando sono memorizzati sul device sia in transito. Magari rendendoli difficilmente analizzabili da soggetti terzi, aggiungendo rumore matematico ai dati grezzi, una tecnica nota come differential privacy che Apple ha annunciato introdurrà a partire da iOS 10. Chissà che questi nuovi risultati non accelerino la sua introduzione anche in watchOS, il sistema operativo degli smartwatch di Cupertino.
Stefano De Carlo