Новые часы Garmin Aviator Watch частично устраняют риск, который подчеркивает война в Украине – микротаргетинг

В конце прошлого месяца электронная фирма Garmin
GRMN
начала рекламировать свои новейшие смарт-часы для авиаторов, D2 1 Маха. Помимо множества специфических для авиации функций, D1 имеет «скрытый режим» для остановки GPS-отслеживания и «режим уничтожения» для стирания памяти. Микронацеливание России на украинских военных через персональные устройства предполагает, что Garmin что-то замышляет. Но достаточно ли?

Часы D47 Mach 2 с большим циферблатом диаметром 1 мм и сенсорным AMOLED-дисплеем с высоким разрешением приковывают к себе внимание. Это часы, которые привлекали авиаторов со времен Первой мировой войны. Навигация напрямую, пульсоксиметр, движущиеся карты GPS и погода NEXRAD. Радар — это заманчивые возможности в таком маленьком устройстве, которые значительно увеличиваются, когда часы подключены через Bluetooth к смартфону с приложениями Garmin Pilot, In-Reach или Connect.

Текстовые и электронные уведомления, биометрические возможности (включая частоту сердечных сокращений, отслеживание физической формы, профили активности и многое другое), которые вы можете найти с другими носимыми устройствами, также являются частью подключенного контента Mach 1. Они достаточно привлекательны, чтобы привлечь военных последователей.

Модели-предшественники новых часов (D2C/D2D) были даже приобретенный (при финансировании подразделения) 99-й разведывательной эскадрильей ВВС, которая летает на собирающем секретную информацию U-2 Dragon Lady. В 2017 году ВМФ выпущен родственная модель смарт-часов Garmin Fenix ​​3 всем пилотам F/A-18 Hornet/Super Hornet/Growler для помощи в обнаружении гипоксии.

Джим Алписер, директор Garmin по продажам послепродажного обслуживания, подтверждает, что у компании «действительно есть пара представителей, активно продающих» D2 Mach 1 клиентам оборонных и военных компаний. Тем не менее, Alpiser «не имеет права разглашать», каким воинским частям они продают. Это подтверждение согласуется с прошлым успехом фирмы из Олате, штат Канзас, и с умными часами, которые следуют за авиаторами и другим военным персоналом США.

Но популярность часов и других носимых устройств Garmin среди военных приобрела особое значение в свете того, что сейчас происходит в Украине и в Военной академии США в Вест-Пойнте, Нью-Йорк.

Российский микротаргетинг на украинских военнослужащих

Российские оперативники коллективно и индивидуально преследуют украинских военнослужащих, используя данные, поступающие из приложений, установленных на подключенных устройствах (сотовых телефонах, планшетах, компьютерах, смарт-часах), которые они используют на поле боя или рядом с ним. Практика была освещена в недавней статье для Новости обороны в соавторстве с исследователем Института кибербезопасности Армии США (ACI) Джессикой Доусон и Брэндоном Пью, политическим советником группы R Street Institute по кибербезопасности и новым угрозам.

Как отмечают авторы, «для военнослужащих и ветеранов стало новой нормой считаться важными целями в информационной войне».

В Украине российские субъекты заполнили почтовые ящики украинских военнослужащих электронной почтой с вредоносным ПО, чтобы собрать личные данные, распространить дезинформацию и запугать. Доусон и Пью также сообщают, что тысячи текстовых сообщений были отправлены местной полиции и военным.

Россия получила доступ к украинским военным путем взлома и использования социальных сетей и других приложений на личных и профессиональных устройствах, которые они используют, открыв прямой портал для интеллектуального анализа данных, влияния на операции и получения тактической информации. Последние могут включать в себя данные о местоположении в реальном времени, модели жизни/движения и размер группы/формирования. Любое подключенное коммерческое устройство — это лазейка, которая может быть использована против пользователя.

Проблема уходит корнями на родину США, в наше гражданское и коммерческое общество и в наши собственные вооруженные силы. Операции здесь и в Украине могут быть поставлены под угрозу из-за повсеместного распространения данных, собираемых для таргетированной рекламы.

Доусон и Пью объясняют, что имя, идентификатор услуги и информация об IP-адресе/устройстве, полученные для анализа рекламных данных, позволяют «легко» идентифицировать информацию о людях с их мобильных телефонов или других подключенных устройств, будь то идентификаторы рекламы или номер телефона. сам.

По их словам, рекламные идентификаторы могут быть объединены с другой информацией отслеживания многочисленными организациями, от онлайн-рекламодателей до брокеров данных, чтобы выявить модели повседневной жизни, такие как место жительства человека и его политические предпочтения. Затем рекламные данные становятся вектором для таргетинга и преследования отдельных лиц.

Чтобы проиллюстрировать широкий потенциал, Доусон ссылается на 2019 г. New York Times функция, в которой сообщалось, что каждую минуту каждого дня по всему миру десятки нерегулируемых, малоизвестных компаний регистрируют перемещения десятков миллионов людей через свои мобильные телефоны, «храня информацию в гигантских файлах данных».

Украинские и американские военнослужащие составляют часть этих миллионов и представляют опасность, о которой Пентагон только что узнал. Около года назад Доусон разработал программу исследований и начал копаться в проблемах сбора коммерческих данных и военных. Что делают военные США в отношении риска микронацеливания?

«Ответ — немного», — говорит она. «Мы пытаемся бить тревогу, что это серьезная проблема. Я понимаю, что [телекоммуникации/ИТ] — это индустрия на триллион долларов, но это очень опасно».

Эта проблема усугубляется повсеместным распространением персональных подключенных устройств и давними американскими традициями личной свободы и неприкосновенности частной жизни, которые лежат в основе владения и использования военнослужащими телефонов, Fitbits или смарт-часов. Американские солдаты, моряки, морские пехотинцы, летчики и охранники обладают ими и увеличивают свою досягаемость / силу с помощью множества социальных сетей, биометрических, навигационных, игровых и коммуникационных приложений.

«Как вы даете людям возможность сражаться в информационном пространстве через социальные сети и другие средства обмена сообщениями, сохраняя при этом свои порядки в безопасности от всех излучений, исходящих от этих устройств?» — спрашивает Доусон. — У нас нет хорошего ответа на этот вопрос.

Учитывая ее уязвимость – буквально жизнь и смерть – возникает вопрос, нашли ли украинские военные ответ?

«Мы не знаем, запрещено ли украинским солдатам пользоваться коммерческими устройствами, — говорит Доусон. «Я не видел никаких сообщений о том, что делают украинские военные. Я бы предположил, что слово вышло: «Выключи это дерьмо».

Но выключить его сложно, признает Доусон. Те же устройства и программное обеспечение, которые стремится использовать Россия (вплоть до TikTok), используются в информационной войне и Украиной.

Точно так же сложно понять масштабы проблемы. Чтобы количественно оценить и охарактеризовать риски сбора данных, ACI хотел бы изучить метаданные с устройств военнослужащих. «Это включает в себя рассмотрение лиц в США, поэтому нам не разрешено делать это, если только это не очень узко».

Исследователи получили ограниченное экспериментальное разрешение на изучение общих данных, но у армии, по словам Доусона, до сих пор нет политики. «Общий консенсус заключался в том, что коммерческие [телекоммуникации] не являются проблемой — что армия не хочет приближаться к этому».

«Бета-тест» Space Force

Как и другие службы. По иронии судьбы, космические силы непреднамеренно затрагивают этот вопрос. В марте космические силы объявленные планы официально внедрить новую «фитнес-программу, состоящую из трех частей», которая позволит отказаться от ежегодного теста на физическую подготовку (PT), столь знакомого всем службам, заменив его программой, которая будет использовать «носимые технологии и программное решение в сочетании с фитнесом». / режимы тренировок и профилактика здоровья».

Хотя программа все еще находится в стадии бета-тестирования, Космические силы подписали контракт с программной платформой для фитнеса. FitRankings «создать цифровое сообщество для подключения носимых устройств для фитнеса», — говорится в пресс-релизе компании.

Компания из Остина, штат Техас, предлагает независимое приложение, которое можно использовать на самых разных устройствах/носимых устройствах, включая часы Garmin. Стоит отметить, что нигде на сайте FitRankings не прописаны слова «информационная безопасность». Как Space Force будет защищать данные для этого подключенного сообщества, как они будут отслеживать данные о здоровье / физической форме Стражей и как им потребуется установить приложение на свои личные носимые устройства, пока не объяснено.

В соответствии с ВВС Таймс В статье менеджеры космических сил (и, предположительно, сотрудники FitRankings) «будут иметь доступ к информационным панелям, которые показывают различные уровни данных о людях, за которыми они наблюдают. Объем этих данных может быть скорректирован так, чтобы показывать только итоговые данные на уровне группы или давать общую оценку уровня физической подготовки отдельного человека…»

Не нужно большого воображения, чтобы предположить, что такие регулярно собираемые данные могут представлять интерес для противников США. Однако Доусон отмечает, что надежность биометрических устройств/приложений сама по себе должна быть поставлена ​​под сомнение.

«Я не видела исследований, в которых говорилось бы, что данные этих биомедицинских приложений действительно точны в прогнозировании здоровья и хорошего самочувствия», — говорит она.

Возможно, приложения могут создавать дополнительный стресс, который Доусон называет «чрезмерной количественной оценкой мониторинга здоровья», что может привести людей к нездоровой одержимости им. Она также предлагает практическое замечание, указывая на то, что люди в Китае уже выяснили, как подделка фитнес-трекеров, приспособление носимых устройств к туалетной бумаге или бананам, чтобы получить лучшие страховые ставки.

Самые умные и незаметные авиационные часы Garmin

«В ответ на резервную копию мы любим говорить: просто направьте пилота в правильном направлении», — язвительно замечает Альписер из Garmin. Он ссылается на аварийный режим D2 Mach 1, который в случае полного отказа системы самолета обеспечивает базовое навигационное сопровождение до ближайшего аэропорта.

Пользователь просто удерживает кнопку с синим кольцом в верхней правой части корпуса часов. Mach 1 переходит в аварийный режим, автоматически упрощая отображение до нескольких важных элементов, включая стрелку, указывающую направление к ближайшему аэропорту.

Как и его предшественники, Mach 1 получает спутниковые данные PNT (положение/навигация/хронометраж) от группировки GPS США, российской группировки ГЛОНАСС и спутников Galileo ЕС. Часы не полагаются на связанный ввод, поэтому они работают в экстренной ситуации, используя вышеуказанные спутниковые сигналы и собственную внутреннюю базу данных.

Эта функция является последним средством для пилотов в пробке, но ее предыдущие версии использовались, в том числе Экипаж EA-18G Growler терпит бедствие в 2017 году. Его достоинство как автономной функции, как правило, затмевается всеми подключенными функциями, которые Garmin рекламирует для D2 Mach 1, включая связанное планирование полета и мониторинг состояния здоровья пилота. Именно здесь начинает подкрадываться риск.

Джим Альписер сказал мне, что он только что вернулся с совещания, посвященного вопросам безопасности, перед нашим интервью. Он говорит, что Garmin «внутренне уделяет большое внимание безопасности персональных данных». Этот фокус распространяется на военных потребителей ее часов и других устройств.

«Мы понимаем, что военные операции и персонал нуждаются в способе защитить свою информацию и быстро стереть устройство, если они сочтут это необходимым. Мы встроили эти функции и возможности. Мы сделали это с намерением сделать эти часы привлекательными для военных летчиков».

Доступ к скрытому режиму Mach 1 осуществляется через меню управления, которое ведет к маленькому значку, похожему на самолет-невидимку. Нажмите на значок, и он настраивает часы так же, как «режим полета» работает на любом другом устройстве, отключая все исходящие сигналы беспроводного вещания (Wi-Fi, Bluetooth, радиоантенна).

Он будет показывать положение пользователя на карте во время активности (навигация в полете, бег и т. д.), но данные о местоположении не сохраняются, позиции GPS не регистрируются. Например, Garmin говорит, что если вы пробежали 3 мили, не будет записи о том, где вы пробежали, только то, что вы пробежали три мили. Если вы выключите режим Stealth, эта активность будет загружена в Garmin Connect, также без данных о местоположении.

Звучит как привлекательный способ сохранить функциональность без записи движения, если пользователь не забудет активировать его. Переключатель Kill Switch в D1 очищает память устройства — еще одна полезная идея Garmin, которая может принести пользу ее военным клиентам. Пользователь приводит в действие переключатель Kill Switch, нажимая и удерживая верхнюю левую кнопку достаточно долго, чтобы получить предупреждение об убийстве с обратным отсчетом — если вы позволите истечь обратному отсчету, он стирает все на устройстве и возвращается к настройкам по умолчанию.

Я пробовал. Это не сработало. После консультации с Garmin компания объяснила, что сначала нужно установить одну кнопку в качестве «горячей клавиши», прежде чем ее можно будет использовать. Они объяснили, как это сделать, и добавили, что Kill Switch стирает все данные, но затем также записывает всю файловую систему мусорными данными, а затем перезагружает новый набор пустых системных данных поверх этого, чтобы предотвратить восстановление удаленных данных.

И снова полезная идея, соглашается Доусон. «Все, что представляет собой простой сброс настроек по умолчанию, — хорошая идея. Скажите, что вы проходите пограничный контроль или что-то подобное, это хорошо».

Но она скептически относится к функции Stealth Mode и сбору данных Garmin в целом. «Я просмотрел отчет о конфиденциальности Garmin Connect в Apple Store. Пишет "данные не привязаны к вашему местоположению". В нем по-прежнему говорится, что данные, которые связаны с вами с помощью этого приложения, — это ваше здоровье и физическая форма, ваши контакты, идентификаторы, контактная информация и пользовательский контент».

Доусон ссылается на рекламные идентификаторы и напоминает, что даже если приложение Garmin не собирает личные данные о местоположении и не связывает их с отдельными лицами, рекламные идентификаторы из приложения/устройства могут быть объединены с другим набором данных и сопоставлены для идентификации пользователя. (Например, другая база данных из другого приложения, которая собирает данные о местоположении и связывает их с идентификатором рекламы.)

Используя две или более баз данных идентификаторов объявлений, которые широко доступны в продаже у различных поставщиков, можно собирать и отслеживать информацию о пользователе. «Политика конфиденциальности Garmin гласит, что они не продают данные пользователей, так что это хороший шаг, но что произойдет, если компания когда-либо будет продана или произойдет утечка данных? Затем эти рекламные идентификаторы можно связать с данными о местоположении».

Доусон добавляет, что персональные данные с возможностью взлома, такие как оценка сна, уровень стресса, гидратация и отслеживание здоровья женщин, которые могут быть взломаны, касаются военнослужащих.

«Если вы [как противник] хотите выяснить, когда идеальное время для развертывания психологических сообщений, вы делаете это, когда кто-то напряжен и измотан. Это приложение [Garmin Connect] должно предоставить эту информацию. Даже если Garmin не продает эти данные, если они будут взломаны, они могут быть там».

К сожалению, опыт подтверждает это. В июле 2020 года киберпреступники атаковали Garmin с помощью атака ransomware который зашифровал внутренние системы компании и отключил важные службы, такие как Garmin Connect, flyGarmin, Strava и InReach. Компания впервые обнаружила атаку, когда сотрудники начали делиться фотографиями зашифрованных рабочих станций. Атака была приписана российской хакерской группе Evil Corp.

По отчеты, Компания Garmin опубликовала заявление, в котором говорится: «У нас нет указаний на то, что какие-либо данные клиентов, включая платежную информацию из Garmin Pay, были доступны, потеряны или украдены». Но, как сказал Sky News Бретт Кэллоу, исследователь кибербезопасности в Emsisoft, «отсутствие указания не является признаком отсутствия».

Министерство финансов США имело ранее санкционированный Корпорация Зла, группа, которая, возможно, все еще действует в России. Garmin говорит, что их приложения разработаны собственными силами, а такие функции, как Stealth Mode и Kill Switch, также можно найти в других моделях умных часов, таких как компания. Тактикс 7.

«У вас есть полный контроль над тем, с кем вы делитесь этой информацией. Пользователь должен поделиться этой информацией, когда сочтет это уместным», — повторяет Альписер из Garmin. Владелец может иметь определенную степень контроля, но даже это не является полным, и компания не уклоняется от использования обобщенных пользовательских данных для продвижения себя.

В январе Garmin выпустила отчет за 2021 г. Отчет о фитнесе Garmin Connect в котором компания говорит: «Данные миллионов клиентов умных часов со всего мира дают представление об основных мероприятиях года».

«Перед лицом продолжающихся блокировок и появления новых вариантов COVID-19 пользователи Garmin зарегистрировали рекордное количество занятий фитнесом в 2021 году», — сказал Джо Шрик, вице-президент Garmin в сегменте фитнеса.

Публикация может показаться достаточно невинной, но это четкая реклама агрегированных (и индивидуальных) персональных данных о физической подготовке, которыми располагает Garmin — данных, потенциально привлекательных для микротаргетинга, который Россия проводит в Украине.

Этот пример восходит к «жестокому» технологическому углу, в который американцы и другие общества загнали себя, говорит Доусон.

«Когда мы думаем о безопасности [протоколов], которые есть у этих компаний, мы, по сути, соглашаемся с тем, что берем частную компанию и противопоставляем ее национальному государству. Министерство обороны и федеральное правительство обычно не помогают частным компаниям защищать свои данные. Даже если у Garmin хорошая система безопасности, если национальное государство захочет в этом участвовать, они смогут это сделать».

В дополнение к непосредственной проблеме микронацеливания для D2 Mach 1 или любого другого устройства, Доусон отмечает, что существует большой пробел в политике в армии и во всем Министерстве обороны.

«Какие полномочия есть у Министерства обороны, чтобы диктовать, рекомендовать что-либо в отношении личных устройств людей?»

Если Космические силы продолжат свой эксперимент по фитнес-тестированию, может ли это стать прецедентом? У Доусон нет ответа, но она предлагает, с чего начать.

«Первое, что мы должны сделать, это заставить Министерство обороны признать, что это является приоритетом национальной безопасности… Идея о том, что родина является оспариваемым пространством и что эти данные являются частью этого оспариваемого пространства, не была четко сформулирована в документах Министерства обороны США по национальной безопасности. ».

Война на Украине может поднять озабоченность по поводу конфиденциальности данных до такого уровня, что военное и политическое руководство США примет это к сведению. Доусон подтверждает, что Армейский кибер-институт использует Украину для обоснования своей позиции по борьбе с микротаргетингом. Это может вернуть ее и ее армейских коллег к основному вопросу.

Я спросил, если бы Доусон отправился в бой на ударном вертолете AH-64 Apache, танке M-1 Abrams или пешком, вы бы надели Garmin D2 Mach 1?

— Я бы не взяла его с собой, — ответила она.