miércoles, abril 24, 2019

Hacking Fitness vía Garmin Connect [Parte 2 de 2] #Garmin #Fitness

Tras encontrar en la primera parte de este artículo que en Google hay indexadas casi 100.00 URLs con datos de actividades de  usuarios - más las que se puedan bruteforcear con alguna herramienta como OSR-Framework o el proyecto Dirty Business Card, vamos a continuar con la búsqueda de info-leaks que se producen en la plataforma Garmin Connect haciendo más uso de las sencillas técnicas de "Hacking con Buscadores".

Figura 11: Hacking Fitness vía Garmin Connect
[Parte 2 de 2]

Vamos a comenzar intentando hacer un perfilado de los usuarios por medio de la información que es pública de la plataforma y que, en principio, está indexada en Google.

Profiling de usuarios

Teniendo acceso de manera pública a las actividades de los usuarios, se comprueba cómo es posible acceder al perfil de cada uno de ellos, además de hacer “dorking” en función del patrón de URL del perfil de los usuarios:

Figura 12: Dorking para buscar información de los perfiles de usuarios.

En algunos perfiles, se observa que el punto de origen de la actividad y el punto de finalización es el mismo, lo que hace suponer que vive allí o en un lugar muy próximo a él. Esto es algo que ya se había visto en el caso de las bases secretas militares con los datos de Strava o en el caso de Endomondo con Robme. No se debe dar activar el origen y el final de una ruta de deporte pública en la ubicación en la que uno vive.

Figura 13: Usuarios en repetidas actividades con mismo lugar de origen y final

Estos usuarios con el mismo punto de origen y de finalización de la actividad física podrían estar dando información que afecte a su seguridad física personal, sobre todo si es relativa a rutinas constantes de la persona.

Figura 14: También se deja, como se ve, la información del dispositivo Garmin usado.

Dado que la plataforma hace uso del servicio Google Maps, es posible obtener información más detallada de los puntos de origen y finalización de la actividad, como por ejemplo el nombre y número de las calles donde se comienza y termina una ruta.

Figura 15: Información más precisa de los puntos de origen y de finalización de la actividad.

Pero con esta información, ya se puede continuar con un proceso e OSINT más completo sobre la persona, ya que se ha dado demasiada información pública a todo el mundo. Vamos a ver cómo estos datos pueden seguir alimentando bases de datos con nuestra privacidad personal.

Datos de carácter personal del usuario

Hasta  este momento, tendríamos el nombre y apellidos del usuario, así como el nombre de la ciudad y calles que más frecuenta porque en ellas inicia o termina buena parte de sus actividades deportivas. También aparece en el perfil de los usuarios el nombre de sus perfiles en otras redes sociales.

Figura 16: Información de las redes sociales utilizadas por uno de los usuarios

Con la información anterior, sería relativamente sencillo obtener datos de carácter personal de los usuarios, siempre y cuando se hayan publicado en Internet previamente y no se hayan eliminado. Una buena fuente son las clasificaciones en las carreras, que al final dejan información pública de todos los deportistas que han participado. En la siguiente imagen incluso aparece un correo electrónico de uno de los usuarios:

Figura 17: Dirección de correo electrónico indexada por Google

Con el nombre de correo electrónico es posible extraer el nombre y apellidos del usuario, ya que ha utilizado esa cuenta de correo para utilizar servicios en Internet en lo que ha introducido datos de carácter personal. Hay muchas bases de datos en la red con esta información, así que hay que tener mucho cuidado con dónde están publicados nuestros datos.

Figura 18: Datos de carácter personal del usuario publicados en web de teléfonos

Y ya, para terminar de perfilar a los usuarios y tener toda la información de una determinada zona geográfica para hacer una base de datos con los vecinos y correr algoritmos de Machine Learning que los agrupen en grupos de Insights, podemos seguir tirando del hilo.

Marca y modelo del smartphone del usuario

Con el nombre de usuario de la cuenta de correo electrónico anterior, se puede probar el en el servicio de correo electrónico de Google para tratar de obtener qué dispositivo móvil tiene, en caso de que éste esté vinculado a una cuenta de correo electrónico de Gmail y el usuario utilice este servicio, como ya vimos en un artículo anterior.


Figura 19: Información del dispositivo móvil utilizado por el usuario
con la cuenta de correo electrónico vinculada a él

Con las opciones del servicio de correo electrónico y de recuperación de la contraseña que proporciona Gmail se determina que el usuario dispone de una cuenta de correo en Gmail y que ésta se encuentra vinculada a un dispositivo móvil, un “Huawei Honor View 10”, que probablemente da alguna idea de los gustos, preferencias o ideas de una persona sobre algunos temas tecnológicos o económicos.

Conclusiones sobre este artículo

Si usas la plataforma Garmin Connect y no quieres que tus datos personales queden expuestos o se pueda llegar hasta ellos por una configuración laxa de la privacidad de tu cuenta, puedes utilizar la configuración de privacidad que se muestra en la siguiente imagen:

Figura 20: Configuración de privacidad de Garmin Connect

Lo ideal y respetuoso para la privacidad del usuario es que todos los perfiles tuvieran la opción por defecto de que los datos no los pudiera ver nadie, y además las apps y opciones de UX no deberían a incitar a su publicación. Pero si usas esta plataforma de Garmin Connect las recomendaciones básicas son:
  • Configura el perfil para que sólo tú puedas ver la información que aparece en él.   
  • Sería aconsejable que nadie más que tú vea la información de las actividades o del histórico de actividades que has realizado.  
  • Si quieres, puedes proporcionar información a Garmin de las rutas que realizas para de esta forma ayudar a la plataforma a que clasifique las rutas en función de su popularidad. Nadie más que Garmin va a disponer de esa información…. en teoría… ;)
Por último, recuerda que si dejas información pública del origen y final de tus rutas podrías estar publicando donde vives a todo el mundo y que si publicas información de tu pulsómetro podrías dar información de tu estado de salud que pudiera ser utilizada por terceros con fines negativos para ti, así que cuida tu privacidad al máximo.

Autor: Amador Aparicio de la Fuente (@amadapa), escritor de libro "Hacking Web Technologies"

******************************************************************************************************
- Hacking Fitness vía Garmin Connect [Parte 1 de 2]
- Hacking Fitness vía Garmin Connect [Parte 2 de 2]
******************************************************************************************************

No hay comentarios:

Publicar un comentario