Noul ceas de aviator de la Garmin abordează parțial un risc pe care îl evidențiază războiul din Ucraina – Microtargeting

La sfârșitul lunii trecute, firma de electronice Garmin
GRMN
a început să prezinte cel mai nou smartwatch pentru aviatori, the D2 Mach 1. Pe lângă o serie de caracteristici specifice aviației, D1 are un „mod stealth” pentru a opri urmărirea GPS și un „mod ucidere” pentru a-și șterge memoria. Micro-țintirea de către Rusia a membrilor forțelor ucrainene prin intermediul dispozitivelor personale sugerează că Garmin are ceva. Dar este suficient?

Cu cadranul mare de 47 mm și ecranul tactil AMOLED de înaltă rezoluție, D2 Mach 1 este impresionant de vizibil, genul de ceas care a atras aviatorii încă de la Primul Război Mondial. Navigația directă, pulsoximetrul, hărțile mobile prin GPS și vremea NEXRAD. radarele sunt capabilități atrăgătoare într-un dispozitiv atât de mic, multiplicate foarte mult atunci când ceasul este conectat prin Bluetooth la un smartphone cu aplicațiile Garmin Pilot, In-Reach sau Connect.

Notificările prin text și e-mail, capabilitățile biometrice (inclusiv ritmul cardiac, urmărirea fitnessului, profilurile de activitate și multe altele) pe care le puteți găsi cu alte dispozitive portabile fac, de asemenea, parte din conținutul conectat al lui Mach 1. Sunt suficient de atrăgătoare pentru a fi atras urmăritori militari.

Modelele predecesoare ale noului ceas (D2C/D2D) au fost egale dobândite (cu finanțare unitară) de către Escadrila 99 de Recunoaștere a Forțelor Aeriene care zboară sensibila U-2 Dragon Lady, care colectează informații. În 2017, Marina emisă un model de ceas inteligent, Fenix ​​3 de la Garmin, pentru toți piloții săi F/A-18 Hornet/Super Hornet/Growler pentru a ajuta la detectarea hipoxiei.

Jim Alpiser, directorul de vânzări pentru piața de schimb de la Garmin, confirmă că compania „are câțiva reprezentanți care vând în mod activ” D2 Mach 1 clienților de apărare/militare. Cu toate acestea, Alpiser „nu are libertatea de a dezvălui” la ce unități militare le vinde. Această confirmare este în concordanță cu succesul trecut al companiei Olathe, Kansas, și cu ceasul inteligent al aviatorilor și al altor militari americani.

Însă popularitatea ceasurilor Garmin și a altor obiecte portabile în rândul armatei a căpătat o semnificație suplimentară în lumina a ceea ce se întâmplă acum în Ucraina și la Academia Militară a Statelor Unite de la West Point, New York.

Microtargeting rusesc pentru membrii serviciilor ucrainene

Operatorii ruși au vizat în mod colectiv și individual membrii serviciului militar ucrainean, valorificând datele provenite de la aplicațiile rezidente pe dispozitivele conectate (telefoane mobile, tablete, computere, ceasuri inteligente) pe care le folosesc pe sau în apropierea câmpului de luptă. Practica a fost evidențiată într-un articol recent pentru Apărare știri în colaborare cu cercetătoarea Institutului cibernetic al armatei americane (ACI), Jessica Dawson, și Brandon Pugh, consilier politic pentru echipa de securitate cibernetică și amenințări emergente a Institutului R Street.

După cum subliniază autorii, „este noua normalitate ca membrii și veteranii din serviciul militar să fie considerați ținte de mare valoare în războiul informațional”.

În Ucraina, actorii ruși au inundat căsuțele de e-mail ale membrilor serviciului militar ucrainean cu e-mailuri încărcate de malware, într-un efort de a aduna date personale, de a răspândi dezinformare și de intimidare. Dawson și Pugh raportează, de asemenea, că mii de mesaje text au fost trimise poliției locale și membrilor militarilor.

Rusia a obținut acces la armata ucraineană prin încălcarea și exploatarea rețelelor sociale și a altor aplicații de pe dispozitivele personale și profesionale pe care le utilizează, deschizând un portal direct pentru extragerea datelor, operațiuni de influență și generare de informații tactice. Acestea din urmă pot include date de locație în timp real, modele de viață/mișcare și dimensiunea grupului/formației. Orice dispozitiv comercial conectat este o deschidere cu potențialul de a fi armat împotriva utilizatorului său.

Problema se întinde până la patria SUA, în întreaga noastră societate civilă și comercială și în propria noastră armată. Operațiunile aici și în Ucraina pot fi puse în pericol datorită caracterului omniprezent al datelor colectate pentru publicitate direcționată.

Dawson și Pugh explică faptul că numele, identificatorul serviciului și adresa IP/informațiile despre dispozitiv colectate pentru analiza datelor publicitare fac „ușor” identificarea informațiilor persoanelor de pe telefoanele lor mobile sau de pe alte dispozitive conectate, indiferent dacă acestea provin de la identificatorii de anunțuri sau de la numărul de telefon. în sine.

Ei spun că identificatorii de anunțuri pot fi agregați cu alte informații de urmărire de către numeroase entități, de la agenții de publicitate online la brokerii de date, pentru a dezvălui tiparele vieții de zi cu zi, cum ar fi locul în care locuiește cineva și preferințele sale politice. Datele publicitare devin apoi un vector pentru a viza și hărțui indivizi.

Pentru a ilustra potențialul larg, Dawson face referire la un 2019 New York Times caracteristică care a raportat că în fiecare minut al fiecărei zile de pe tot globul, zeci de companii nereglementate, puțin analizate, înregistrează mișcările a zeci de milioane de oameni prin intermediul telefoanelor lor mobile, „stochând informațiile în fișiere de date gigantice”.

Membrii serviciilor ucrainene și americane sunt un subset al acelor milioane și reprezintă un risc la care Pentagonul abia s-a trezit. Cu aproximativ un an în urmă, Dawson a stabilit o agendă de cercetare și a început să cerceteze problema colectării datelor comerciale și a armatei. Ce face armata SUA cu privire la riscul de micro-țintire?

„Răspunsul nu este prea mult”, spune ea. „Încercăm să tragem un semnal de alarmă că aceasta este o preocupare semnificativă. Înțeleg că [telecomunicațiile/IT] este o industrie de un trilion de dolari, dar este foarte periculoasă.”

Este o problemă exacerbată de omniprezența dispozitivelor personale conectate și de tradițiile americane de lungă durată privind libertatea individuală și confidențialitatea care stau la baza deținerii și utilizării telefoanelor, fitbit-urilor sau a ceasurilor inteligente de către membrii serviciului. Soldații, marinarii, marinarii, aviatorii și gardienii americani le posedă și își multiplică acoperirea/puterea printr-o multitudine de aplicații de social media, biometrice, de navigație, jocuri și comunicare.

„Cum le permiteți oamenilor să lupte în spațiul informațional prin intermediul rețelelor sociale și al altor mesaje, păstrând în același timp formațiunile în siguranță de toate emisiile care provin de la aceste dispozitive?” întreabă Dawson. „Nu avem un răspuns bun pentru asta.”

Având în vedere vulnerabilitatea sa – literalmente viață și moarte – se pune întrebarea dacă armata ucraineană a găsit răspuns?

„Nu știm dacă soldații ucraineni sunt restricționați de la dispozitive comerciale”, spune Dawson. „Nu am văzut niciun raport despre ceea ce face armata ucraineană. Aș presupune că s-a stins cuvântul: „Opriți prostiile astea”.

Dar Dawson recunoaște greu să o dezactivezi. Aceleași dispozitive și software pe care Rusia încearcă să le exploateze (până la TikTok) sunt folosite și de Ucraina în războiul informațional.

Este la fel de dificil să-și dea seama de amploarea problemei. Pentru a cuantifica și caracteriza riscurile de colectare a datelor, ACI ar dori să analizeze metadatele de pe dispozitivele membrilor serviciilor armatei. „Asta implică să ne uităm la indivizi americani, așa că nu avem voie să facem asta decât dacă este adaptat foarte îngust.”

Cercetătorii au obținut aprobare experimentală limitată pentru a studia datele generale, dar armata, spune Dawson, încă nu are nicio politică. „Consensul general a fost că [telecomunicațiile] comerciale nu sunt o problemă – că armata nu vrea să se apropie de asta.”

„Testul beta” al Forțelor Spațiale

Nici celelalte servicii nu s-ar părea. În mod ironic, Forța Spațială abordează din neatenție problema. În martie, Forța Spațială au anunțat planurile să implementeze oficial un nou „program de fitness în trei părți” care să abandoneze testul anual de fitness (PT) atât de familiar tuturor serviciilor, înlocuindu-l cu un program care va folosi „tehnologie purtabilă și o soluție software asociată cu fitness /regimuri de antrenament și practici preventive de sănătate.”

Deși programul este încă în test beta, Forța Spațială a semnat un contract cu platforma software de fitness FitRankings „pentru a crea o comunitate digitală care să conecteze articolele vestimentare de fitness”, potrivit unui comunicat de presă al companiei.

Compania cu sediul în Austin, Texas oferă o aplicație agnostică care poate fi utilizată pe o mare varietate de dispozitive/dispozitive purtate, inclusiv ceasurile Garmin. Este demn de remarcat faptul că nicăieri pe site-ul FitRankings nu sunt scrise cuvintele „securitate informațională”. Nu a fost explicat modul în care Space Force va securiza datele pentru această comunitate conectată, cum va monitoriza datele de sănătate/fitness ale Guardians și cum le va cere să instaleze aplicația pe dispozitivele lor personale.

Potrivit unui Timpul forțelor aeriene articol, managerii Forțelor Spațiale (și probabil personalul FitRankings) „vor avea acces la tablouri de bord care arată diferite niveluri de date despre persoanele pe care îi supraveghează. Amploarea acestor date poate fi ajustată pentru a afișa numai totalurile la nivel de grup sau pentru a oferi o evaluare generală a nivelului de fitness al unui individ...”

Nu este nevoie de un salt de imaginație pentru a presupune că astfel de date colectate în mod obișnuit ar fi de interes pentru adversarii americani. Cu toate acestea, Dawson subliniază că fiabilitatea dispozitivelor/aplicațiilor biometrice trebuie să fie pusă în discuție.

„Nu am văzut cercetări care să spună că datele din aceste aplicații biomedicale sunt de fapt exacte în prezicerea sănătății și a bunăstării”, spune ea.

Este posibil ca aplicațiile să creeze stres suplimentar, ceea ce Dawson numește „supra cuantificarea monitorizării sănătății”, care poate duce oamenii la o obsesie nesănătoasă pentru aceasta. Ea oferă și o notă practică, subliniind că oamenii din China și-au dat deja seama cum să facă spoof trackere de fitness, potrivirea articolelor purtabile pe hârtie igienică sau banane pentru a obține tarife de asigurare mai bune.

Cel mai inteligent și mai ascuns ceas de aviație Garmin de până acum

„Pentru a reveni la backup la backup, ne place să spunem, doar îndreptați pilotul în direcția corectă”, glumește Alpiser de la Garmin. El face referire la modul de urgență al lui D2 Mach 1, care, în cazul unei defecțiuni complete a sistemului aeronavei, oferă ghidare de navigație de bază către cel mai apropiat aeroport.

Un utilizator pur și simplu ține apăsat butonul cu inele albastre din partea dreaptă sus a carcasei ceasului. Mach 1 intră în modul de urgență, simplificând automat afișarea cu câteva elemente cruciale, inclusiv o săgeată care indică direcția către cel mai apropiat aeroport.

La fel ca predecesorii săi, Mach 1 primește date prin satelit PNT (poziție/navigație/cronometrare) de la constelația GPS din SUA, de la constelația GLONASS a Rusiei și de la sateliții Galileo ai UE. Ceasul nu se bazează pe intrarea conectată, așa că este funcțional în caz de urgență folosind semnalele satelitului de mai sus și propria bază de date internă.

Funcția este o ultimă soluție pentru piloții aflați într-un blocaj, dar versiunile anterioare ale acesteia au fost folosite inclusiv de către an Echipajul EA-18G Growler în primejdie în 2017. Meritul că o caracteristică de sine stătătoare este în general umbrită de toate funcțiile conectate pe care Garmin le oferă pentru D2 Mach 1, inclusiv planificarea zborului conectat și monitorizarea stării de sănătate a pilotului. Aici riscul începe să se strecoare.

Jim Alpiser mi-a spus că tocmai venise de la o întâlnire axată pe securitate înainte de interviul nostru. El spune că Garmin are un „accent uriaș în interior pe securitatea datelor cu caracter personal”. Accentul se extinde asupra consumatorilor militari de ceasuri și alte dispozitive.

„Înțelegem că operațiunile și personalul militar au nevoie de o modalitate de a-și proteja informațiile și de a șterge rapid dispozitivul dacă simt că este necesar. Am integrat acele funcții și caracteristici. Am făcut asta cu intenția de a face acest ceas atractiv pentru aviatorii militari.”

Modul Stealth al lui Mach 1 este accesat printr-un meniu de control care duce la o pictogramă care arată ca un avion stealth. Atingeți pictograma și configurează ceasul în același mod în care funcționează „modul avion” pe orice alt dispozitiv, dezactivând toate semnalele de transmisie wireless de ieșire (Wifi, Bluetooth, antenă radio).

Acesta va afișa poziția utilizatorului pe o hartă atunci când se află într-o activitate (navigație de zbor, alergare etc.), dar nu sunt salvate date despre locație, pozițiile GPS nu sunt înregistrate. De exemplu, Garmin spune că dacă ai alergat pe o distanță de 3 mile, nu ar exista nicio înregistrare a locului în care ai alergat, doar că ai alergat trei mile. Dacă dezactivați modul Stealth, acea activitate de rulare va fi încărcată în Garmin Connect, de asemenea, fără date de poziție.

Sună ca o modalitate atractivă de a păstra funcționalitatea fără a înregistra mișcarea dacă un utilizator își amintește să o acționeze. Kill Switch-ul lui D1 șterge memoria dispozitivului, un alt aspect util de la Garmin care ar putea beneficia clientela militară. Un utilizator acţionează comutatorul Kill apăsând şi menţinând apăsat butonul din stânga sus suficient de mult pentru a genera un avertisment de ucidere cu numărătoare inversă – dacă lăsaţi numărătoarea inversă să expire, şterge totul de pe dispozitiv şi revine la setările implicite.

Am încercat. Nu a mers. După ce s-a consultat cu Garmin, compania a explicat că mai întâi trebuie să setați un singur buton ca „tastă rapidă” înainte de a putea fi utilizat. Ei au explicat cum se procedează și au adăugat că Kill Switch șterge toate datele, dar apoi scrie și peste întregul sistem de fișiere cu date de gunoi și apoi reîncarcă un nou set de date de sistem goale pe deasupra pentru a preveni recuperarea datelor șterse.

Din nou, o idee utilă este de acord cu Dawson. „Orice lucru care este o resetare ușoară implicită din fabrică este o idee bună. Să spunem că treci prin securitatea frontierei sau ceva asemănător, asta e bine.”

Dar este sceptică în ceea ce privește funcția Stealth Mode și colectarea datelor Garmin în general. „M-am uitat la raportul de confidențialitate Garmin Connect din Apple Store. Scrie „datele nu sunt legate de locația ta”. Tot spune că datele care sunt legate de tine folosind această aplicație sunt sănătatea și starea ta de fitness, contactele, identificatorii, informațiile de contact și conținutul utilizatorului.”

Dawson se referă la identificatorii de anunțuri și reamintește că, chiar dacă o aplicație Garmin nu colectează în mod expres date personale privind locația și le leagă de persoane, identificatorii de anunțuri din aplicație/dispozitiv ar putea fi îmbinați cu un alt set de date și comparați pentru a identifica utilizatorul. (De exemplu, o altă bază de date dintr-o altă aplicație care colectează date despre locație și le conectează la un identificator de anunț.)

Folosind două sau mai multe baze de date cu identificatori de anunțuri, care sunt disponibile pe scară largă pentru vânzare de la o varietate de furnizori, informațiile utilizatorului pot fi culese și urmărite. „Politica de confidențialitate a Garmin spune că nu vând datele utilizatorilor, așa că este un pas bun, dar ce se întâmplă dacă compania este vândută vreodată sau are loc o încălcare a datelor? Acei identificatori de anunțuri pot fi apoi conectați la datele despre locație.”

Datele personale care pot fi încălcate, micro-țintite, cum ar fi scorul de somn, nivelurile de stres, hidratarea și urmărirea sănătății femeilor, despre care Garmin evidențiază că sunt îngrijorătoare pentru membrii serviciului, adaugă Dawson.

„Dacă tu [ca adversar] vrei să-ți dai seama când este momentul perfect pentru a implementa mesaje psihologice, o faci atunci când cineva este stresat și epuizat. Această aplicație [Garmin Connect] ar oferi probabil aceste informații. Chiar dacă Garmin nu vinde acele date, dacă sunt piratate, acestea pot fi acolo.”

Din păcate, experiența dovedește ideea. În iulie 2020, criminalii cibernetici au vizat Garmin cu un ransomware atac care a criptat sistemele interne ale companiei și a oprit servicii critice precum Garmin Connect, flyGarmin, Strava și InReach. Compania a detectat prima dată atacul când angajații au început să partajeze fotografii ale stațiilor de lucru criptate. Atacul a fost atribuit unui grup de hackeri rusi numit „Evil Corp”.

În conformitate cu rapoarte, Garmin a emis o declarație în care spunea: „Nu avem nicio indicație că datele clienților, inclusiv informațiile de plată de la Garmin Pay, au fost accesate, pierdute sau furate”. Dar, după cum Brett Callow, un cercetător în securitate cibernetică la Emsisoft, a declarat pentru Sky News, „absența unei indicații nu este o indicație a absenței”.

Trezoreria SUA a avut sancționat anterior Evil Corp, un grup care poate încă operează în interiorul Rusiei. Garmin spune că aplicațiile sale sunt proiectate intern și funcții precum Stealth Mode și Kill Switch pot fi găsite și pe alte modele de smartwatch, cum ar fi cel al companiei. Tactix 7.

„Aveți control complet asupra cui împărtășiți aceste informații. Depinde de utilizator să partajeze acele informații atunci când consideră că este potrivit”, reiterează Alpiser de la Garmin. Purtătorul poate avea un anumit grad de control, dar chiar și acesta nu este complet și compania nu s-a ferit să folosească datele generalizate ale utilizatorului pentru a se promova.

În ianuarie, Garmin a emis un 2021 Raport de fitness Garmin Connect în care compania spune: „Datele de la milioane de clienți de smartwatch la nivel mondial oferă o perspectivă asupra activităților de top ale anului.”

„În fața blocajelor în curs și a apariției noilor variante de COVID-19, utilizatorii Garmin au înregistrat un număr record de activități de fitness în 2021”, a declarat Joe Schrick, vicepreședinte al segmentului de fitness Garmin.

Lansarea poate părea suficient de inocentă, dar este o reclamă clară a tipului de date de fitness cu caracter personal agregate (și individuale) pe care le deține Garmin - date potențial atractive pentru tipul de microtargeting pe care Rusia îl urmărește în Ucraina.

Exemplul se întoarce la colțul tehnologic „rău și tare” pe care americanii și alte societăți l-au pus, spune Dawson.

„Când ne gândim la [protocoalele] de securitate pe care le au aceste companii, în esență acceptăm că luăm o companie privată și o confruntăm cu un stat național. DoD și guvernul federal nu ajută, în general, companiile private să își protejeze datele. Chiar dacă Garmin are o securitate bună, dacă un stat național dorește să intre în asta, va putea intra.”

Pe lângă problema imediată de microtargeting pentru D2 Mach 1 sau orice dispozitiv, există un mare decalaj de politică în armată și în întreaga DoD, observă Dawson.

„Ce autoritate are DoD să dicteze, să recomande ceva în ceea ce privește dispozitivele private ale oamenilor?”

Dacă Forța Spațială continuă cu experimentul său de testare de fitness conectat, ar putea crea un precedent? Dawson nu are un răspuns, dar sugerează un loc de unde începe.

„Primul lucru pe care trebuie să-l facem este să facem ca DoD să recunoască că aceasta este o prioritate de securitate națională... Ideea că patria este spațiu contestat și că aceste date fac parte din acel spațiu contestat nu a fost articulată clar în documentele de securitate națională ale DoD. .”

Războiul din Ucraina poate ridica preocupările privind confidențialitatea datelor la un nivel în care conducerea militară și politică a SUA ia notă. Dawson confirmă că Institutul Cyber ​​al Armatei folosește Ucraina pentru a-și construi argumentele pentru abordarea microdirecționării. Asta ar putea readuce pe ea și pe colegii ei din Armată înapoi la o întrebare de bază.

Dacă Dawson ar intra în luptă într-un elicopter de atac AH-64 Apache, tanc M-1 Abrams, sau pe jos am întrebat, ai purta un Garmin D2 Mach 1?

„Nu l-aș lua cu mine”, a răspuns ea.