當前位置：安全 → 行業動態 → 正文

可穿戴式設備的安全水平究竟如何?

責任編輯：editor007 作者：核子可樂譯 |來源：企業網D1Net 2016-01-28 14:21:39 本文摘自：51CTO

無論是使用自行購買的可穿戴設備，還是在企業環境下進行IT事務管理，追蹤裝置與智能手表等產品正變得愈發談及——但這也意味著可穿戴式設備很可能成為網絡犯罪分子們的下一類重要攻擊目標。

如果大家剛剛在購物季當中為自己買到了心儀的可穿戴式設備，恭喜!您已經迎來了新的、可追蹤的、充斥著大量數據的生活紀元!

可穿戴式設備的安全水平究竟如何?

　　當然，您同時也把新的攻擊目標請回了家中。

“每一項數字化技術在逐步迎來更加廣泛的使用范疇之后，也會成功吸引到黑客與犯罪分子們的覬覦目光，”ESET公司的Stephen Cobb表示。“因此，如果可穿戴式設備真的全面走向普及，那么犯罪分子自然也會將其作為下一種攻擊目標，并試圖借此為自己牟取利益。”

作為ESET公司的資深安全研究人員，Cobb指出他還沒有真正經歷過指向可穿戴式設備的攻擊活動，但這并不是說我們還可以繼續高枕無憂地面對未來。

他在最近針對偉易達(一家專門生產兒童可穿戴設備的廠商)的報告當中指出，該公司的客戶數據庫已經遭到入侵——而其中包含有來自約500萬家長及20萬名兒童用戶的個人信息。

“偉易達公司的部分玩具產品能夠拍照并將部分照片共享至其后端系統當中，”Cobb解釋稱。“考慮到其屬于可穿戴式設備，照片當中很可能包含位置信息甚至是與兒童個人健康狀況相關的信息。”

不過也有一些好消息值得關注：消費者們已經開始懷疑其可穿戴式設備的安全保護能力。根據Auth0方面發起的一項研究顯示，有52%的受訪消費者認為物聯網設備不具備與之功能相適應的安全保護能力。由此看來，有意購買可穿戴式設備的消費者們已經開始對相關產品的安全水平保持警惕。

然而，根據偉易達安全事故之影響加上Cobb的預測，整個體系當中最為薄弱的環節并不在于設備本身。事實上，負責對所收集信息進行存儲的數據庫才是最值得擔憂的組成部分。

“如果有人打算針對可穿戴式設備廠商從消費者處收集到的數據下手，特別是那些一直覬覦客戶姓名、住址、個人身份信息乃至其它敏感數據的犯罪分子，”他表示，那么他們很可能有機會席卷這些重要資訊。另外，如果他們擁有實時上傳來的位置信息，那么就能夠了解到哪些客戶目前并不在家，并據此組織入室盜竊等行動——Facebook公司在發展早期就遇到過這類情況，犯罪分子會根據受害者張貼的度假照片猜測其目前并不在家。

而另一種可能性在于，Cobb指出，考慮到其可能面對的來自聯邦貿易委員會的嚴厲制裁，各可穿戴式設備廠商必須在未來對其數據庫進行悉心保護。

他同時強調稱，消費者應當認真檢查相關可穿戴設備的制造廠商以及使用此類數據的第三方應用產品的隱私政策聲明，從而了解各方會如何利用我們的隱私信息。如果某款應用壓根沒有提到所謂隱私保護策略，那么請馬上停止使用。

可穿戴式設備在工作環境下的安全性令人擔憂

如果大家是一家企業的CIO且需要處理大量敏感信息——無論是健康信息、企業交易機密、財務數據抑或是委托人權限等等——那么在將可穿戴設備引入工作環境之前必須考慮其合法性。

“我會對谷歌眼鏡以及智能手表內置攝像頭等等能夠記錄音頻與視頻的裝置表示擔憂，”福克斯羅斯柴爾德律師事務所首席隱私官兼合伙人Mark McCreary指出。“在數據保護工作當中，這是我們需要加以優先關注的重點所在。”

即使員工本人只是出于無心而記錄下某些重要信息(例如在工作過程中錄制了一段與工作毫不相關的搞笑視頻)，這些視頻或者音頻同樣有可能包含敏感數據并被上傳到云等不同位置——這些位置的安全性往往無法與企業的內部系統相提并論。

“這些信息可能存在多份副本，而且我們對這些數據完全不具備控制權，”McCreary表示。他將此比喻為員工在家中使用Dropbox。將信息保存在Dropbox當中已經受到明令禁止，而同樣的情況也應當被引入對可穿戴設備的管理工作當中。

另外，某些未經許可的人也可能借其它能夠查看企業所記錄的數據或者辦公信息的第三方處竊取資訊(請記住，Target公司之所以受到黑客攻擊，恰恰是是由于一家溫控與空調廠商的緣故)。這種狀況往往不太明顯，特別是在通過可穿戴式設備實現的情況之下——例如進入我們內部環境的第三方人員通過手機拍攝視頻或者錄制音頻。

在這類情況下，McCreary表示，特別是考慮到企業可能需要處理大量敏感信息，我們可能應當禁用工作場合下可穿戴設備的記錄功能或者根本不允許相關人員攜帶此類裝置進入存在敏感信息的位置。

人力資源眼中的可穿戴式設備

某些企業正在著手為員工發放Fitbit等追蹤設備，并將其作為個人健康計劃的組成部分。雖然這一決定的背后動機可能是好的，XphertHR網站的一位法務編輯表示，但這可能意味著人力資源與法務部門有機會借此獲取并查看個人數據。

“目前關于隱私侵犯的問題可謂多種多樣，”她解釋稱，特別是在雇主對個人健康信息加以監控的條件之下。舉例來說，除了Zip型號之外，所有Fitbit設備都能夠記錄員工的日常行為乃至睡眠模式，而員工當然不希望這些隱私數據被企業所掌握。

另外，由企業發放的可穿戴式設備還會引發個人時間與隱私時間等定義難題。“使用可穿戴式設備的員工們有可能無法確切分割工作時間與非工作時間之間的界線，”她指出。“而雇主則可能需要為此支付加班費。”

她同時補充稱，如果一臺設備能夠記錄視頻或者音頻，那么雇主需要確保這些設備不會訪問到有違法律要求的信息，例如那些企業無權參與的工會活動，否則有可能造成與國家勞動關系法間的沖突。

根據Zoller的說法，在工作環境下處理可穿戴式設備的最佳方式就是“建立一項管理政策，明確限定雇主在其中的定位、員工該如何使用這些可穿戴式設備，同時培訓雇主、管理者以及員工”了解可穿戴式設備在工作當中能夠與不能實現哪些用途。而且相關可穿戴設備使用指南應當發布在企業的官方網站當中。

毫無疑問，可穿戴式設備將建立起一個規模可觀的新行業，但其仍處于起步階段而且需要經受黑客世界的嚴酷洗禮——盡管我們尚不知相關攻擊會在何時、何地、如何出現。“每一波技術浪潮都會帶來新的、可資利用的安全薄弱環節與漏洞，”Cobb表示。“而作為一大新興產物，可穿戴式設備也需要成為我們密切加以關注的新型威脅領域。”

原文標題：How secure are wearables, anyway?

關鍵字：穿戴 ESET 谷歌