在今年的蘋(píng)果新品發(fā)布會(huì )上,Apple Watch的亮相再一次讓可穿戴設備成為業(yè)界的焦點(diǎn)話(huà)題。大多數人都認為,可穿戴設備將是未來(lái)消費電子產(chǎn)品的必然發(fā)展方向,同時(shí)也是手機等現有信息終端的革新者與顛覆者。但是,在我們翹首期盼可穿戴時(shí)代到來(lái)的同時(shí),也不可忘記其存在的信息安全風(fēng)險,這有可能成為決定可穿戴設備行業(yè)發(fā)展高度的最短的那一塊“木板”。
可穿戴設備功能越強大 安全問(wèn)題就越值得擔憂(yōu)
顧名思義,可穿戴設備就是可以穿戴在身體上的信息交互設備。與傳統信息交互設備不同的是,其往往內置各種傳感器,直接感知來(lái)自于自身的各項數據(例如步數、行走距離、卡路里、心跳、GPS坐標等)。這些數據被搜集起來(lái)并在后臺中進(jìn)行分析,并形成具象化結論,告訴消費者自身的健康情況、運動(dòng)情況,甚至形成直接建議。
正在進(jìn)化的可穿戴設備將更多的成為信息輸入和輸出混合設備,這種設備指既能采集數據,又能對數據作過(guò)濾處理并顯示出來(lái)的設備。比如谷歌眼鏡:其配備了可以捕獲實(shí)景的攝像頭,并且能通過(guò)視網(wǎng)膜投影裝置將數據輸出給用戶(hù)。這類(lèi)信息輸入和輸出設備能夠允許用戶(hù)做很多事情,例如提供健康調整建議、控制家庭設備等,而黑客一旦入侵此類(lèi)設備,所能進(jìn)行的破壞行動(dòng)將足以讓更多的人憂(yōu)慮。
而且,設備功能越多,被用來(lái)進(jìn)行攻擊的手段也就越多。趨勢科技(中國區)業(yè)務(wù)發(fā)展總監童寧指出:“現在的可穿戴設備已經(jīng)內置了越來(lái)越多的功能,在很多應用場(chǎng)景中,黑客已經(jīng)可以通過(guò)Wi-Fi網(wǎng)絡(luò )、藍牙、NFC、聲音等多種方式發(fā)動(dòng)攻擊,各種傳感器的應用同樣增加了黑客可資利用的途徑,用戶(hù)受攻擊的風(fēng)險自然會(huì )相應提升。”
一個(gè)稍微可以緩解我們擔憂(yōu)的事實(shí)是,這些可穿戴設備基本都是新平臺,其系統架構與產(chǎn)品特點(diǎn)顯著(zhù)差異于傳統的信息設備,這使得黑客不得不花費一定的時(shí)間去研究這些新平臺。隨著(zhù)產(chǎn)品的日趨成熟,攻擊者逐漸理解掌握了設備內部工作原理后,新平臺就會(huì )變得不再安全。
對于可穿戴設備的攻擊將“全面開(kāi)花”
黑客并不會(huì )只針對可穿戴設備的進(jìn)行單點(diǎn)攻擊,而是會(huì )將攻擊目標擴大到整個(gè)信息鏈條,尋找最薄弱的環(huán)節,與可穿戴設備有關(guān)的云服務(wù)提供商、中間服務(wù)提供商乃至于可穿戴設備本身都有可能成為攻擊的目標。具體來(lái)看,這些攻擊將包括以下幾種方式:
1、針對可穿戴設備的云服務(wù)供應商進(jìn)行攻擊
目前,可穿戴設備的服務(wù)基本都是基于云計算網(wǎng)絡(luò )來(lái)實(shí)現的,云服務(wù)提供商存儲、處理著(zhù)大量用戶(hù)的隱私數據,因此攻擊者往往會(huì )通過(guò)入侵云服務(wù)供應商訪(fǎng)問(wèn)存儲在云端的數據。這種攻擊具備更多傳統攻擊的色彩,攻擊者可能會(huì )利用針對性攻擊的方式尋找云服務(wù)供應商的安全薄弱點(diǎn)所在,并進(jìn)行更隱蔽、更具威脅性的攻擊,以竊取用戶(hù)賬戶(hù)等信息。
一旦用戶(hù)賬戶(hù)被攻破,攻擊者就能看到可穿戴設備上的數據,了解更詳細的用戶(hù)信息,從而利于他們有針對性地實(shí)施非法行發(fā)送垃圾信息。這并不是一件新鮮事:2011年,比特幣交易網(wǎng)站MtGox遭遇了數據泄露,其用戶(hù)就收到了針對性的金融服務(wù)垃圾郵件。作為比特幣的用戶(hù),垃圾郵件發(fā)送者認為他們會(huì )更有可能相信金融相關(guān)的詐騙,而不是對減肥產(chǎn)品感興趣。
2、針對中間應用進(jìn)行攻擊
現在,應用開(kāi)發(fā)商為可穿戴設備開(kāi)發(fā)了越來(lái)越多的針對性應用,由于這些應用并不會(huì )至于統一的安全規范之下,安全情況也是未知的,因此這就給攻擊者提供了更多的攻擊方式。做到這一點(diǎn)最簡(jiǎn)單的方法是讓用戶(hù)安裝惡意應用,而大多數攻擊者會(huì )利用那些安全審核不嚴格的第三方應用商店來(lái)做到這一點(diǎn)。
在此類(lèi)攻擊中,攻擊者會(huì )搜索到受害者更完整的數據,從而選定適合受害者去安裝的應用。例如,惡意軟件可以開(kāi)發(fā)適用于A(yíng)pple Watch的惡意應用,利用它來(lái)隨時(shí)確定用戶(hù)的所在位置,并進(jìn)行基于用戶(hù)的地理位置的廣告或者點(diǎn)擊欺詐。
3、直接入侵可穿戴設備
攻擊者可以從傳統APT攻擊中獲得啟發(fā),進(jìn)而針對性的入侵。當然,這種入侵一般是針對那些高價(jià)值的目標(例如政界、商界人士,意見(jiàn)領(lǐng)袖等),其攻擊范圍包括了從個(gè)人數據竊取到對相機設備實(shí)體的破壞。此類(lèi)攻擊會(huì )影響到他們的日常生活,還會(huì )對在專(zhuān)業(yè)領(lǐng)域使用的設備產(chǎn)生重大影響:一個(gè)簡(jiǎn)單的拒絕服務(wù)攻擊可以阻止醫生做手術(shù)或阻止執法人員采集輸入數據來(lái)追捕罪犯。
這些攻擊最常利用的功能就是藍牙,而隨著(zhù)可穿戴設備的進(jìn)化,也可能會(huì )包括聲音、NFC等更多的方式。一般來(lái)說(shuō),攻擊者需要在物理上接近目標設備,這縮小了攻擊目標的范圍,也增加了攻擊的難度,但對于特定的目標來(lái)說(shuō),這一攻擊仍然具備極高的危險性。
防范針對可穿戴設備的攻擊需未雨綢繆
隨著(zhù)針對可穿戴設備的攻擊還很少,但隨著(zhù)可穿戴設備應用生態(tài)的不斷完善,使用人數的不斷增加,可以預測針對可穿戴設備的攻擊將會(huì )顯著(zhù)的增多。那么,如何防范針對可穿戴設備的攻擊呢。童寧指出:“目前可穿戴設備的風(fēng)險大多集中在應用生態(tài)的上游鏈條,因此可穿戴服務(wù)提供商擔負著(zhù)尤為重要的安全責任,服務(wù)商除了需要加強網(wǎng)絡(luò )安全防御措施的強化與對攻擊跡象的洞察之外,還需要在設備中采取更嚴密的安全協(xié)議,保證用戶(hù)數據的安全。同時(shí)也要提醒消費者,不要隨意將可穿戴設備產(chǎn)生的個(gè)人隱私數據進(jìn)行社交分享,避免不必要的風(fēng)險。”
而可穿戴設備的終端用戶(hù)也需要對此有更多的警惕,除了在選擇可穿戴設備、安裝應用上提高警惕,盡量選擇信譽(yù)有保障的服務(wù)商之外。還需要認識到,可穿戴設備終究只是一款信息交互設備,它不能夠完全指導我們應該怎樣生活,所以不要把自己的所有信息都暴露在其中,也不要對其每一個(gè)建議都堅信不疑。
