O Lado Sombrio do Smartwatch na SI

Pode parecer inocente, mas um smartwatch tem o potencial gigante para ações maliciosas. Neste texto abordaremos um pouco sobre como este gadget pode passar despercebido nas considerações de um sistema de gerenciamento de segurança da informação.

Não é novidade que os dispositivos vestíveis conectados tomaram seu espaço no cotidiano das pessoas. São equipamentos que proporcionam agilidade e produtividade ao usuário quando muito bem utilizados, inclusive em alguns contextos, salvando vidas.

Porém, nem tudo é doce e possui um paladar agradável, cabendo por necessidade sabores amargos e desconfortáveis durante a tratativa de alguns assuntos. Smartwatches, por serem dispositivos popularizados e com grande variedade de configurações e valores, fazem desses aparelhos os equipamentos perfeitos para ações maliciosas, sejam elas ações diretas ou indiretas.

☕️ Vamos ao primeiro gole de café quente!

O ser humano não é o elo mais fraco na Segurança da Informação, o fator humano é um vetor de ataque, seja intencional ou não intencional. O que definirá sua escolha na linha de ação é o contexto em que este está inserido e as condições para a decisão.

☕️ Vamos ao segundo gole de café quente!

Como uma ferramenta discreta para uso malicioso, um smartwatch pode ser utilizado das seguintes maneiras de maneira intencional (direta):

• Escuta clandestina - independentemente do valor, um smartwatch possui microfone embutido, tornando-o um dispositivo quase que perfeito para realizar gravações de áudio não autorizadas em conversas ou reuniões;

• Câmera espiã - se o smartwatch for equipado com câmera, ficará mais fácil fazer fotografias de documentos sigilosos, telas de computadores e pessoas no ambiente de trabalho;

• Engenharia social - este é a clássica técnica de forçar uma conversa específica, gravando o que a outra pessoa diz, para coletar informações confidencias ou comprometedoras.

De maneira não intencional (indireta), o uso do smartwatch maliciosamente acontece das seguintes formas básicas:

• Vigilância - se o equipamento possuir a função GPS, há o risco do mesmo ser infectado e utilizado como mecanismo de rastreamento, revelando informações sobre o padrão de movimentação do usuário;

• Vazamento de dados - por imperícia no entendimento dos riscos cibernéticos, o usuário pode sincronizar o smartwatch com dispositivos corporativos, maximizando brechas para vazamentos;

• Imã para malwares - quando o usuário tem apetite por instalar vários aplicativos no dispositivo, desconsiderando se a fonte do app confiável ou não, posteriormente espalhando-se na rede interna;

• Engenharia Social² - neste caso aplicado ao roubo de identidade em caso de perda do dispositivo, onde na maioria das vezes encontra-se desprotegido, permitindo ao agente malicioso visualizar mensagens, notificações e outras informações contidas;

• Exposição insegura - seja pelo bluetooth ou rede wifi, todo cuidado é pouco, afinal ambos podem ser comprometidos, principalmente se forem redes não confiáveis.

☕️ Esvaziando a xícara com o último gole!

Considerar todas as nuances dentro de um sistema de gerenciamento de segurança da informação é primordial, principalmente quando entendemos que Segurança não é algo "palpável", mas uma Sensação que é nivelada com base na mentalidade do usuário ou profissional.

Portanto, ao levar em conta os detalhes, como um smartwatch dentro do contexto mais amplo da segurança da informação, as organizações podem criar uma cultura de segurança robusta e proativa, visando a proteção adequada dos dados e a mitigação eficaz dos riscos de segurança.

Antes de baixar a xícara vazia, deixamos a última gotinha do café quente: A saúde da sua Cultura Organizacional impacta...

#hackerrockcafe #hackerrock #segurancadainformacao #privacidade #protecaodedados #inteligencia #contrainteligencia #smartwatch #segurancacibernetica #segurancaofensiva #redteam #segurancadefensiva #blueteam