在今年的苹果新品发布会上,Apple Watch的亮相再一次让可穿戴设备成为业界的焦点话题。大多数人都认为,可穿戴设备将是未来消费电子产品的必然发展方向,同时也是手机等现有信息终端的革新者与颠覆者。但是,在我们翘首期盼可穿戴时代到来的同时,也不可忘记其存在的信息安全风险,这有可能成为决定可穿戴设备行业发展高度的最短的那一块“木板”。
功能越强大安全越堪忧
可穿戴设备就是可以穿戴在身体上的信息交互设备。与传统信息交互设备不同的是,其往往内置各种传感器,直接感知来自于自身的各项数据(例如步数、行走距离、卡路里、心跳、GPS坐标等)。这些数据被搜集起来并在后台中进行分析,并形成具象化结论。正在进化的可穿戴设备将更多的成为信息输入和输出混合设备,这种设备指既能采集数据,又能对数据作过滤处理并显示出来的设备。比如谷歌眼镜:其配备了可以捕获实景的摄像头,并且能通过视网膜投影装置将数据输出给用户。这类信息输入和输出设备能够允许用户做很多事情,例如提供健康调整建议、控制家庭设备等,而黑客一旦入侵此类设备,所能进行的破坏行动将足以让更多的人忧虑。而且,设备功能越多,被用来进行攻击的手段也就越多。趋势科技(中国区)业务发展总监童宁指出:“现在的可穿戴设备已经内置了越来越多的功能,在很多应用场景中,黑客已经可以通过Wi-Fi网络、蓝牙、NFC、声音等多种方式发动攻击,各种传感器的应用同样增加了黑客可资利用的途径,用户受攻击的风险自然会相应提升。”
目前,一个稍微可以缓解我们担忧的事实是,这些可穿戴设备基本都是新平台,其系统架构与产品特点显著差异于传统的信息设备,这使得黑客不得不花费一定的时间去研究这些新平台。
攻击将“全面开花”
黑客并不会只针对可穿戴设备的进行单点攻击,而是会将攻击目标扩大到整个信息链条,寻找最薄弱的环节,与可穿戴设备有关的云服务提供商、中间服务提供商乃至于可穿戴设备本身都有可能成为攻击的目标。具体来看,这些攻击将包括以下方式:
1、针对可穿戴设备的云服务供应商进行攻击
目前,可穿戴设备的服务基本都是基于云计算网络来实现的,云服务提供商存储、处理着大量用户的隐私数据,因此攻击者往往会通过入侵云服务供应商访问存储在云端的数据。这种攻击可能会利用针对性攻击的方式寻找云服务供应商的安全薄弱点所在,并进行更隐蔽、更具威胁性的攻击,以窃取用户账户等信息。
一旦用户账户被攻破,攻击者就能看到可穿戴设备上的数据,了解更详细的用户信息,从而利于他们有针对性地实施非法行为。如2011年,比特币交易网站MtGox遭遇了数据泄露,其用户就收到了针对性的金融服务垃圾邮件。作为比特币的用户,垃圾邮件发送者认为他们会更有可能相信金融相关的诈骗。
2、针对中间应用进行攻击
现在,应用开发商为可穿戴设备开发了越来越多的针对性应用,由于这些应用并不会至于统一的安全规范之下,因此这就给攻击者提供了更多的攻击方式。做到这一点最简单的方法是让用户安装恶意应用,而大多数攻击者会利用那些安全审核不严格的第三方应用商店来做到这一点。在此类攻击中,攻击者会搜索到受害者更完整的数据,从而选定适合受害者去安装的应用。
3、直接入侵可穿戴设备
攻击者可以从传统APT攻击中获得启发,进而针对性的入侵。当然,这种入侵一般是针对那些高价值的目标(例如政界、商界人士),其攻击范围包括了从个人数据窃取到对相机设备实体的破坏。此类攻击会影响到他们的日常生活,还会对在专业领域使用的设备产生重大影响。
本报记者 姜姝
关注读览天下微信,
100万篇深度好文,
等你来看……
