Garmins nya Aviator-klocka adresserar delvis en risk som kriget i Ukraina lyfter fram – mikromålinriktning

I slutet av förra månaden, elektronikföretaget Garmin
GRMN
började presentera sin senaste smartklocka för flygare, den D2 Mach 1. Förutom en mängd flygspecifika funktioner har D1 ett "smygläge" för att stoppa GPS-spårning och ett "dödläge" för att torka minnet. Rysslands mikroinriktning av ukrainska styrkor medlemmar via personliga enheter tyder på att Garmin är inne på något. Men räcker det?

Med sin stora 47 mm urtavla och högupplösta AMOLED-pekskärm är D2 Mach 1 imponerande iögonfallande, den typ av klocka som har lockat flygare sedan första världskriget. Dess direkt-till-navigering, pulsoximeter, GPS-kartor och NEXRAD-väder radar är lockande möjligheter i en så liten enhet, mångdubblas kraftigt när klockan är Bluetooth-ansluten till en smartphone med Garmins Pilot, In-Reach eller Connect-appar.

Text- och e-postmeddelanden, biometriska funktioner (inklusive puls, träningsspårning, aktivitetsprofiler och mer) som du kan hitta med andra bärbara enheter är också en del av Mach 1:s anslutna innehåll. De är tillräckligt tilltalande för att ha lockat en militär anhängare.

Den nya klockans föregångare (D2C/D2D) var jämna förvärvade (med enhetsfinansiering) av flygvapnets 99:e spaningsskvadron som flyger den känsliga underrättelseinsamlande U-2 Dragon Lady. Under 2017 har Marinen utfärdade en systermodell för smartklockor, Garmins Fenix ​​3, till alla sina F/A-18 Hornet/Super Hornet/Growler-piloter för att hjälpa till med att upptäcka hypoxi.

Jim Alpiser, Garmins direktör för eftermarknadsförsäljning, bekräftar att företaget "har ett par representanter som aktivt säljer" D2 Mach 1:or till försvars-/militärkunder. Men Alpiser är "inte fritt att avslöja" vilka militära enheter de säljer till. Denna bekräftelse ligger i linje med det Olathe, Kansas-baserade företagets tidigare framgångar och smartwatch-följning med flygare och annan amerikansk militärpersonal.

Men populariteten för Garmins klockor och andra wearables hos militären har fått extra betydelse i ljuset av vad som nu händer i Ukraina och på United States Military Academy i West Point, New York.

Ryska mikroinriktning av ukrainska tjänstemedlemmar

Ryska operatörer har kollektivt och individuellt riktat in sig på ukrainska militärtjänstmedlemmar genom att utnyttja data som kommer från appar som finns på de anslutna enheterna (mobiltelefoner, surfplattor, datorer, smarta klockor) som de använder på eller nära slagfältet. Praxis uppmärksammades i en ny artikel för Försvarsnyheter medförfattare av US Army Cyber ​​Institute (ACI) forskare, Jessica Dawson, och Brandon Pugh, politiska rådgivare för R Street Institutes team för cybersäkerhet och framväxande hot.

Som författarna påpekar, "Det är det nya normala för militärtjänstmedlemmar och veteraner att betraktas som högvärdiga mål i informationskriget."

I Ukraina har ryska aktörer översvämmat ukrainska militärtjänstmedlemmars inkorgar med skadlig programvara i ett försök att samla personliga uppgifter, sprida desinformation och hot. Dawson och Pugh rapporterar också att tusentals textmeddelanden har skickats till lokala polis- och militärmedlemmar.

Ryssland har fått tillgång till den ukrainska militären genom att bryta mot och utnyttja sociala medier och andra appar på de personliga och professionella enheter de använder, öppna en direkt portal för datautvinning, påverka operationer och generering av taktiska insikter. Det senare kan inkludera lokaliseringsdata i realtid, mönster av liv/rörelse och grupp/formationsstorlek. Alla anslutna kommersiella enheter är en öppning med potential att bli vapen mot dess användare.

Problemet sträcker sig tillbaka till USA:s hemland, genom hela vårt civila och kommersiella samhälle och vår egen militär. Verksamheten här och i Ukraina kan utsättas för risker tack vare den omfattande data som samlas in för riktad reklam.

Dawson och Pugh förklarar att namn, tjänstidentifierare och IP-adress/enhetsinformation som sopas upp för analys av reklamdata gör det "lätt" att identifiera individers information från deras mobiltelefoner eller andra anslutna enheter, oavsett om det kommer från annonsidentifierare eller telefonnumret sig.

Annonsidentifierare som de säger kan aggregeras med annan spårningsinformation av många enheter, från onlineannonsörer till datamäklare, för att avslöja mönster i det dagliga livet som var någon bor och deras politiska preferenser. Annonsdatan blir sedan en vektor för att rikta in sig på och trakassera individer.

För att illustrera den breda potentialen hänvisar Dawson till en 2019 New York Times funktion som rapporterade att dussintals oreglerade, små granskade företag varje minut varje dag över hela världen loggar tiotals miljoner människors rörelser via sina mobiltelefoner, "lagrar informationen i gigantiska datafiler".

Ukrainska och amerikanska tjänstemedlemmar är en delmängd av dessa miljoner och representerar en risk som Pentagon precis har vaknat till. För ungefär ett år sedan satte Dawson upp en forskningsagenda och började gräva i problemet med kommersiell datainsamling och militären. Vad gör den amerikanska militären åt risken för mikromål?

Svaret är inte mycket, säger hon. "Vi försöker slå larm om att detta är ett stort problem. Jag förstår att [telekommunikation/IT] är en biljonindustri men det är väldigt farligt.”

Det är ett problem som förvärras av förekomsten av personliga uppkopplade enheter och de långvariga amerikanska traditionerna av individuell frihet och integritet som ligger till grund för tjänstemedlemmars ägande och användning av telefoner, Fitbits eller smarta klockor. Amerikanska soldater, sjömän, marinsoldater, flygare och väktare besitter dessa och multiplicerar sin räckvidd/kraft via en mängd sociala medier, biometriska appar, navigering, spel och kommunikation.

"Hur gör du det möjligt för människor att slåss i informationsutrymmet genom sociala medier och andra meddelanden samtidigt som du håller dina formationer säkra från alla utsläpp som kommer från dessa enheter?" frågar Dawson. "Vi har inget bra svar på det."

Med tanke på dess sårbarhet – bokstavligen på liv och död – uppstår frågan om den ukrainska militären har hittat ett svar?

"Vi vet inte om ukrainska soldater är begränsade från kommersiella enheter," säger Dawson. "Jag har inte sett några rapporter om vad den ukrainska militären gör. Jag skulle anta att ordet har slocknat, "Stäng av skiten."

Men att stänga av det är svårt, erkänner Dawson. Samma enheter och mjukvara som Ryssland försöker utnyttja (ända till TikTok) används i informationskriget även av Ukraina.

Att ta hand om problemets omfattning är lika svårt. För att kvantifiera och karakterisera datainsamlingsrisker vill ACI titta på metadata från armétjänstmedlemmars enheter. "Det innebär att titta på amerikanska individer så vi får inte göra det om det inte är väldigt snävt skräddarsytt."

Forskarna har fått ett begränsat experimentellt godkännande att porera igenom allmänna data men armén, säger Dawson, har fortfarande ingen policy. "Den allmänna konsensus har varit att kommersiell [telekommunikation] inte är ett problem - att armén inte vill gå i närheten av det."

Space Forces "betatest"

Det verkar inte heller göra de andra tjänsterna. Ironiskt nog berör rymdstyrkan oavsiktligt frågan. I mars rymdstyrkan tillkännagav planer att officiellt implementera ett nytt "tre-delat fitnessprogram" som skulle se det överge det årliga fysiska konditionstestet (PT) som är så bekant för alla tjänster, och ersätta det med ett program som kommer att använda "bärbar teknologi och en mjukvarulösning parad med fitness /träningsregimer och förebyggande hälsopraxis."

Även om programmet fortfarande är i betatest, har Space Force tecknat ett kontrakt med träningsplattformen FitRankings "att skapa en digital community för att koppla ihop träningskläder", enligt ett pressmeddelande från företaget.

Det Austin, Texas-baserade företaget erbjuder en agnostisk app som kan användas på en mängd olika enheter/wearables inklusive Garmins klockor. Det är värt att notera att ingenstans på FitRankings webbplats står orden "informationssäkerhet" utskrivna. Hur Space Force kommer att säkra data för denna uppkopplade community, hur den kommer att övervaka Guardians hälso-/träningsdata och hur det kommer att kräva att de installerar appen på sina personliga bärbara kläder har inte förklarats.

I enlighet med en Air Force Times I artikeln kommer Space Force-chefer (och förmodligen FitRankings personal) "att ha tillgång till instrumentpaneler som visar olika nivåer av data om de personer de övervakar. Omfattningen av dessa data kan justeras för att endast visa totalsummor på gruppnivå eller ge en allmän bedömning av en individs konditionsnivå..."

Det krävs inget språng i fantasin för att anta att sådan rutinmässigt insamlad data skulle vara av intresse för amerikanska motståndare. Men Dawson påpekar att tillförlitligheten hos biometriska enheter/appar måste ifrågasättas.

"Jag har inte sett forskning som säger att data från dessa biomedicinska appar faktiskt är korrekta för att förutsäga hälsa och välbefinnande", säger hon.

Det är möjligt, apparna kan skapa ytterligare stress, vad Dawson kallar "överkvantifieringen av hälsoövervakning" som kan leda till att människor blir ohälsosamma besatta av det. Hon ger också en praktisk anteckning och påpekar att folk i Kina redan har kommit på hur man gör spoof fitness trackers, montera wearables på toalettpapper eller bananer för att få bättre försäkringspriser.

Den smartaste, smygaste Garmin Aviation Watch hittills

"Som en tillbaka till backupen till backupen vill vi säga, bara peka piloten i rätt riktning", skämtar Garmins Alpiser. Han refererar till D2 Mach 1:s nödläge som, i händelse av ett fullständigt flygplanssystemfel, ger grundläggande navigeringsvägledning till närmaste flygplats.

En användare håller helt enkelt ned den blåringade knappen på den övre högra sidan av klockfodralet. Mach 1 går in i nödläge, vilket automatiskt förenklar displayen till några viktiga element, inklusive en pil som pekar i riktning mot närmaste flygplats.

Precis som sina föregångare tar Mach 1 emot satellit-PNT-data (position/navigering/timing) från den amerikanska GPS-konstellationen, från Rysslands GLONASS-konstellation och EU:s Galileo-satelliter. Klockan är inte beroende av länkad ingång så den fungerar i en nödsituation med hjälp av ovanstående satellitsignaler och sin egen interna databas.

Funktionen är en sista utväg för piloter i en jam men tidigare versioner av den har använts inklusive av en EA-18G Growler besättning i nöd 2017. Det är meriterande eftersom en fristående funktion i allmänhet överskuggas av alla anslutna funktioner som Garmin presenterar för D2 Mach 1 inklusive ansluten flygplanering och pilothälsoövervakning. Det är här risken börjar smyga sig in.

Jim Alpiser berättade för mig att han precis hade kommit från ett säkerhetsfokuserat möte innan vår intervju. Han säger att Garmin har ett "stort fokus internt på personlig datasäkerhet". Det fokuset sträcker sig till militära konsumenter av dess klockor och andra enheter.

"Vi förstår att militära operationer och personal behöver ett sätt att skydda sin information och snabbt torka enheten ren om de känner att det är nödvändigt. Vi har byggt in dessa funktioner och funktioner. Vi har gjort det med avsikten att göra den här klockan attraktiv för militära flygare.”

Mach 1:s Stealth Mode nås via en kontrollmeny som leder till en liten ikon som ser ut som ett stealth-flygplan. Tryck på ikonen och den konfigurerar klockan ungefär på samma sätt som "flygplansläge" fungerar på alla andra enheter, och stänger av alla utgående trådlösa sändningssignaler (Wifi, Bluetooth, radioantenn).

Den kommer att visa användarens position på en karta under en aktivitet (flygnavigering, löpning, etc.) men ingen platsdata sparas, GPS-positioner loggas inte. Garmin säger till exempel att om du springer 3 mil, skulle det inte finnas några uppgifter om var du sprang, bara att du sprang tre mil. Om du stänger av Stealth-läget kommer den löpaktiviteten att laddas upp till Garmin Connect, också utan positionsdata.

Det låter som ett attraktivt sätt att bevara funktionalitet utan att registrera rörelser om en användare kommer ihåg att aktivera den. D1:s Kill Switch tömmer enhetens minne, ytterligare ett användbart tänkande från Garmin som kan gynna dess militära kundkrets. En användare aktiverar Kill Switch genom att trycka och hålla ned den övre vänstra knappen tillräckligt länge för att ge en dödsvarning med en nedräkning – om du låter nedräkningen löpa ut, torkar den allt på enheten och återgår till standardinställningarna.

Jag försökte det. Det fungerade inte. Efter samråd med Garmin förklarade företaget att man först måste ställa in en enda knapp som en "snabbknapp" innan den kan användas. De förklarade hur man gör det och tillade att Kill Switch torkar all data men sedan också skriver över hela filsystemet med skräpdata och sedan laddar om en ny uppsättning tomma systemdata ovanpå det för att förhindra att raderad data återställs.

Återigen, en användbar idé håller Dawson med om. "Allt som är en enkel fabriksåterställning är en bra idé. Säg att du går igenom gränssäkerhet eller något liknande, det är bra.”

Men hon är skeptisk till Stealth Mode-funktionen och Garmins datainsamling i allmänhet. "Jag tittade på Garmin Connects sekretessrapport på Apple Store. Det står "data inte kopplad till din plats". Det står fortfarande att informationen som är länkad till dig med den här appen är din hälsa och kondition, dina kontakter, identifierare, kontaktinformation och användarinnehåll."

Dawson hänvisar tillbaka till annonsidentifierare och påminner om att även om en Garmin-app inte uttryckligen samlar in personlig platsdata och länkar den till individer, kan annonsidentifierarna från appen/enheten slås samman med en annan datamängd och jämföras för att identifiera användaren. (Till exempel en annan databas från en annan app som samlar in platsdata och länkar den till en annonsidentifierare.)

Genom att använda två eller flera annonsidentifieringsdatabaser, som är allmänt tillgängliga för försäljning från en mängd olika leverantörer, kan användarens information samlas in och spåras. "Garmins integritetspolicy säger att de inte säljer användardata, så det är ett bra steg, men vad händer om företaget någonsin säljs eller det sker ett dataintrång? Dessa annonsidentifierare är sedan länkbara till platsdata."

Potentiellt intrångsbara, mikromålbara personliga data som sömnpoäng, stressnivåer, vätskebalans och spårning av kvinnors hälsa som Garmin framhåller är oroande för tjänstemedlemmar Dawson tillägger.

"Om du [som en motståndare] vill ta reda på när den perfekta tiden att distribuera psykologiska meddelanden, gör du det när någon är stressad och sliten. Den här appen [Garmin Connect] skulle förmodligen ge den informationen. Även om Garmin inte säljer den datan kan den finnas där ute om de blir hackade."

Tyvärr visar erfarenheten poängen. I juli 2020 riktade cyberbrottslingar sig mot Garmin med en ransomware attack som krypterade företagets interna system och stängde av viktiga tjänster som Garmin Connect, flyGarmin, Strava och InReach. Företaget upptäckte attacken först när anställda började dela bilder av krypterade arbetsstationer. Attacken tillskrevs en rysk hackergrupp kallad "Evil Corp".

Enligt rapporter, Garmin utfärdade ett uttalande som sa: "Vi har inga indikationer på att någon kunddata, inklusive betalningsinformation från Garmin Pay, har nåtts, förlorats eller blivit stulen." Men som Brett Callow, en cybersäkerhetsforskare på Emsisoft, sa till Sky News, "Frånvaro av indikation är inte en indikation på frånvaro."

USA:s finansminister hade tidigare sanktionerats Evil Corp, en grupp som fortfarande kan vara verksam i Ryssland. Garmin säger att dess appar är designade internt och funktioner som Stealth Mode och Kill Switch kan också hittas på andra smartwatch-modeller som företagets Tactix 7.

"Du har fullständig kontroll över vem du delar denna information med. Det är upp till användaren att dela den informationen när de känner sig lämpliga”, upprepar Garmins Alpiser. Bäraren kan ha en viss kontroll, men inte ens det är fullständigt och företaget har inte undvikit att använda generaliserad användardata för att marknadsföra sig själv.

I januari utfärdade Garmin en 2021 Garmin Connect Fitness rapport där företaget säger: "Data från miljontals globala smartwatchkunder ger insikt i årets toppaktiviteter."

"Inför pågående nedstängningar och uppkomsten av nya COVID-19-varianter loggade Garmin-användare ett rekordstort antal träningsaktiviteter under 2021", säger Joe Schrick, Garmins vicepresident fitnesssegment.

Utgivningen kan tyckas oskyldig nog, men det är tydlig reklam för den typ av aggregerad (och individuell) personlig träningsdata som Garmin besitter – data som potentiellt är attraktiva för den typ av mikromål som Ryssland eftersträvar i Ukraina.

Exemplet går tillbaka till det "ondskefulla hårda" tekniska hörnet som amerikanska och andra samhällen har lagt sig i säger Dawson.

"När vi tänker på säkerheten [protokollen] som dessa företag har, accepterar vi i huvudsak att vi tar ett privat företag och ställer det mot en nationalstat. DoD och den federala regeringen hjälper i allmänhet inte privata företag att skydda sina data. Även om Garmin har bra säkerhet, om en nationalstat vill gå in i det här, kommer de att kunna ta sig in.”

Förutom det omedelbara problemet med mikroinriktning för D2 Mach 1 eller vilken enhet som helst, finns det ett stort politiskt gap i armén och i hela DoD Dawson observerar.

"Vilken auktoritet har DoD att diktera, rekommendera något med avseende på människors privata enheter?"

Om Space Force går vidare med sitt anslutna fitnesstestexperiment kan det skapa ett prejudikat? Dawson har inget svar men hon föreslår en plats att börja.

"Det första vi måste göra är att få DoD att inse att detta är en nationell säkerhetsprioritet... Tanken att hemlandet är ett omstridt utrymme och att dessa data är en del av det omtvistade utrymmet har inte tydligt formulerats i DoD:s nationella säkerhetsdokument .”

Kriget i Ukraina kan höja oro för datasekretess till en nivå där USA:s militära och politiska ledning noterar. Dawson bekräftar att Army Cyber ​​Institute använder Ukraina för att bygga upp sitt argument för att ta itu med mikromålinriktning. Det kan föra henne och hennes armékollegor tillbaka till en grundläggande fråga.

Om Dawson skulle gå i strid i en AH-64 Apache attackhelikopter, M-1 Abrams stridsvagn eller till fots frågade jag, skulle du bära en Garmin D2 Mach 1?

"Jag skulle inte ta det med mig", svarade hon.