惠普公司發(fā)布的一項(xiàng)評(píng)估結(jié)果顯示,具備網(wǎng)絡(luò)和通信功能的智能手表成為了網(wǎng)絡(luò)攻擊新的前沿陣地。HP Fortify的研究發(fā)現(xiàn),100%的被測(cè)智能手表存在重大漏洞,包括身份驗(yàn)證不充分、缺乏加密以及隱私保護(hù)問(wèn)題。是危言聳聽(tīng),還是善意提醒?
隨著物聯(lián)網(wǎng)市場(chǎng)的發(fā)展,智能手表因其便捷和強(qiáng)大的功能而日漸流行。在它們?cè)絹?lái)越成為主流設(shè)備之際,智能手表也越來(lái)越多地保存健康數(shù)據(jù)等敏感信息,并將通過(guò)連接移動(dòng)應(yīng)用而很快實(shí)現(xiàn)汽車(chē)和家庭解鎖等物理訪問(wèn)功能。
惠普評(píng)估了10款智能手表以及它們的安卓和iOS云、移動(dòng)應(yīng)用組件,并發(fā)現(xiàn)了許多安全隱患。
首先是不充足的用戶(hù)身份驗(yàn)證/授權(quán)。每個(gè)被測(cè)智能手表均采用移動(dòng)界面,缺乏二元身份驗(yàn)證以及在3-5次密碼嘗試失敗后鎖定賬號(hào)的能力。30%的被測(cè)智能手表很容易被盜號(hào)(密碼保護(hù)政策太弱、缺乏賬號(hào)鎖定和用戶(hù)枚舉),這意味著攻擊者可以獲得訪問(wèn)設(shè)備和數(shù)據(jù)的權(quán)限。
第二是缺乏傳輸加密。鑒于個(gè)人信息被傳輸?shù)皆浦械亩鄠€(gè)地點(diǎn),傳輸加密至關(guān)重要。雖然所有被測(cè)產(chǎn)品均采用了SSL/TLS傳輸加密,但40%的云連接很容易受到POODLE攻擊,允許使用弱密碼或仍舊使用SSL v2。
第三則是隱私保護(hù)問(wèn)題。所有智能手表都收集了某些形式的個(gè)人信息,例如姓名、地址、生日、體重、性別、心率和其他健康信息。鑒于某些產(chǎn)品存在賬號(hào)枚舉和使用弱密碼(容易被破譯的密碼) 的問(wèn)題,這些個(gè)人信息就會(huì)存在泄漏的風(fēng)險(xiǎn)。
熱議
雖然智能手表可以提供有關(guān)人體健康和環(huán)境的寶貴數(shù)據(jù),但它們也為更深層地侵犯隱私行為敞開(kāi)了大門(mén)。黑客只要在智能手表中置入一個(gè)偽裝的應(yīng)用程序就能獲取郵件、搜索引擎或保密文件中的信息。所有使用運(yùn)動(dòng)傳感器的可穿戴式設(shè)備的安全性都同樣薄弱。
——伊利諾伊大學(xué)教授 羅米特·羅伊·喬杜里
要獲取智能手表上的數(shù)據(jù)對(duì)于專(zhuān)業(yè)黑客來(lái)講是很輕而易舉的事情,但是大家也不需要太過(guò)于驚慌。用戶(hù)若沒(méi)有丟失智能手表,那么黑客就沒(méi)法拿到硬件,因此信息泄露的可能性就會(huì)降低。所以,預(yù)防黑客入侵的最好方法就是不要丟失自己的智能手表。
——紐黑文大學(xué)教授 Ibrahim Baggili
用戶(hù)和應(yīng)用開(kāi)發(fā)者沒(méi)有意識(shí)到信息會(huì)存儲(chǔ)在“大量”服務(wù)器上。這為黑客獲得這些數(shù)據(jù)提供了更多接入點(diǎn),黑客可能在數(shù)據(jù)傳輸過(guò)程中截獲數(shù)據(jù)或攻擊存儲(chǔ)數(shù)據(jù)的服務(wù)器。消費(fèi)者可能沒(méi)有意識(shí)到用于訪問(wèn)智能手表的移動(dòng)應(yīng)用和Web界面也會(huì)存在安全問(wèn)題。隨著智能手表普及率的提高,它們將成為對(duì)黑客有吸引力的攻擊目標(biāo),因?yàn)橛脩?hù)在這些設(shè)備上存儲(chǔ)著敏感信息,例如與購(gòu)物有關(guān)的數(shù)據(jù),甚至還有用于開(kāi)門(mén)鎖的數(shù)據(jù)。在購(gòu)買(mǎi)一款智能手表時(shí),人們通常不會(huì)考慮這些安全擔(dān)憂和智能手表應(yīng)用數(shù)據(jù)的使用方式,而是智能手表的功能,例如健身和健康追蹤等。