可穿戴设备发展遇"木桶效应" 安全问题或成最短"木板"

  在今年的苹果新品发布会上,Apple Watch的亮相再一次让可穿戴设备成为业界的焦点话题。大多数人都认为,可穿戴设备将是未来消费电子产品的必然发展方向,同时也是手机等现有信息终端的革新者与颠覆者。但是,在我们翘首期盼可穿戴时代到来的同时,也不可忘记其存在的信息安全风险,这有可能成为决定可穿戴设备行业发展高度的最短的那一块"木板"。

  可穿戴设备功能越强大 安全问题就越值得担忧

  顾名思义,可穿戴设备就是可以穿戴在身体上的信息交互设备。与传统信息交互设备不同的是,其往往内置各种传感器,直接感知来自于自身的各项数据(例如步数、行走距离、卡路里、心跳、GPS坐标等)。这些数据被搜集起来并在后台中进行分析,并形成具象化结论,告诉消费者自身的健康情况、运动情况,甚至形成直接建议。

  正在进化的可穿戴设备将更多的成为信息输入和输出混合设备,这种设备指既能采集数据,又能对数据作过滤处理并显示出来的设备。比如谷歌眼镜:其配备了可以捕获实景的摄像头,并且能通过视网膜投影装置将数据输出给用户。这类信息输入和输出设备能够允许用户做很多事情,例如提供健康调整建议、控制家庭设备等,而黑客一旦入侵此类设备,所能进行的破坏行动将足以让更多的人忧虑。

  而且,设备功能越多,被用来进行攻击的手段也就越多。趋势科技(中国区)业务发展总监童宁指出:"现在的可穿戴设备已经内置了越来越多的功能,在很多应用场景中,黑客已经可以通过Wi-Fi网络、蓝牙、NFC、声音等多种方式发动攻击,各种传感器的应用同样增加了黑客可资利用的途径,用户受攻击的风险自然会相应提升。"

  一个稍微可以缓解我们担忧的事实是,这些可穿戴设备基本都是新平台,其系统架构与产品特点显著差异于传统的信息设备,这使得黑客不得不花费一定的时间去研究这些新平台。随着产品的日趋成熟,攻击者逐渐理解掌握了设备内部工作原理后,新平台就会变得不再安全。

  对于可穿戴设备的攻击将"全面开花"

  黑客并不会只针对可穿戴设备的进行单点攻击,而是会将攻击目标扩大到整个信息链条,寻找最薄弱的环节,与可穿戴设备有关的云服务提供商、中间服务提供商乃至于可穿戴设备本身都有可能成为攻击的目标。具体来看,这些攻击将包括以下几种方式:

  1、针对可穿戴设备的云服务供应商进行攻击

  目前,可穿戴设备的服务基本都是基于云计算网络来实现的,云服务提供商存储、处理着大量用户的隐私数据,因此攻击者往往会通过入侵云服务供应商访问存储在云端的数据。这种攻击具备更多传统攻击的色彩,攻击者可能会利用针对性攻击的方式寻找云服务供应商的安全薄弱点所在,并进行更隐蔽、更具威胁性的攻击,以窃取用户账户等信息。

  一旦用户账户被攻破,攻击者就能看到可穿戴设备上的数据,了解更详细的用户信息,从而利于他们有针对性地实施非法行发送垃圾信息。这并不是一件新鲜事:2011年,比特币交易网站MtGox遭遇了数据泄露,其用户就收到了针对性的金融服务垃圾邮件。作为比特币的用户,垃圾邮件发送者认为他们会更有可能相信金融相关的诈骗,而不是对减肥产品感兴趣。

  2、针对中间应用进行攻击

  现在,应用开发商为可穿戴设备开发了越来越多的针对性应用,由于这些应用并不会至于统一的安全规范之下,安全情况也是未知的,因此这就给攻击者提供了更多的攻击方式。做到这一点最简单的方法是让用户安装恶意应用,而大多数攻击者会利用那些安全审核不严格的第三方应用商店来做到这一点。

  在此类攻击中,攻击者会搜索到受害者更完整的数据,从而选定适合受害者去安装的应用。例如,恶意软件可以开发适用于Apple Watch的恶意应用,利用它来随时确定用户的所在位置,并进行基于用户的地理位置的广告或者点击欺诈。

  3、直接入侵可穿戴设备

  攻击者可以从传统APT攻击中获得启发,进而针对性的入侵。当然,这种入侵一般是针对那些高价值的目标(例如政界、商界人士,意见领袖等),其攻击范围包括了从个人数据窃取到对相机设备实体的破坏。此类攻击会影响到他们的日常生活,还会对在专业领域使用的设备产生重大影响:一个简单的拒绝服务攻击可以阻止医生做手术或阻止执法人员采集输入数据来追捕罪犯。

  这些攻击最常利用的功能就是蓝牙,而随着可穿戴设备的进化,也可能会包括声音、NFC等更多的方式。一般来说,攻击者需要在物理上接近目标设备,这缩小了攻击目标的范围,也增加了攻击的难度,但对于特定的目标来说,这一攻击仍然具备极高的危险性。

  防范针对可穿戴设备的攻击需未雨绸缪

  随着针对可穿戴设备的攻击还很少,但随着可穿戴设备应用生态的不断完善,使用人数的不断增加,可以预测针对可穿戴设备的攻击将会显著的增多。那么,如何防范针对可穿戴设备的攻击呢。童宁指出:"目前可穿戴设备的风险大多集中在应用生态的上游链条,因此可穿戴服务提供商担负着尤为重要的安全责任,服务商除了需要加强网络安全防御措施的强化与对攻击迹象的洞察之外,还需要在设备中采取更严密的安全协议,保证用户数据的安全。同时也要提醒消费者,不要随意将可穿戴设备产生的个人隐私数据进行社交分享,避免不必要的风险。"

  而可穿戴设备的终端用户也需要对此有更多的警惕,除了在选择可穿戴设备、安装应用上提高警惕,尽量选择信誉有保障的服务商之外。还需要认识到,可穿戴设备终究只是一款信息交互设备,它不能够完全指导我们应该怎样生活,所以不要把自己的所有信息都暴露在其中,也不要对其每一个建议都坚信不疑。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:Adobe电子书阅读软件窃取用户隐私