■張建國(guó)

防火墻

可穿戴設(shè)備遇“木桶效應(yīng)”安全或成最短板

■張建國(guó)

在今年的蘋果新品發(fā)布會(huì)上，Apple Watch的亮相再一次讓可穿戴設(shè)備成為業(yè)界的焦點(diǎn)話題。大多數(shù)人都認(rèn)為，可穿戴設(shè)備將是未來(lái)消費(fèi)電子產(chǎn)品的必然發(fā)展方向，同時(shí)也是手機(jī)等現(xiàn)有信息終端的革新者與顛覆者。但是，在我們翹首期盼可穿戴時(shí)代到來(lái)的同時(shí)，也不可忘記其存在的信息安全風(fēng)險(xiǎn)，這有可能成為決定可穿戴設(shè)備行業(yè)發(fā)展高度的最短的那一塊“木板”。

可穿戴設(shè)備功能越強(qiáng)大安全問(wèn)題就越值得擔(dān)憂

顧名思義，可穿戴設(shè)備就是可以穿戴在身體上的信息交互設(shè)備。與傳統(tǒng)信息交互設(shè)備不同的是，其往往內(nèi)置各種傳感器，直接感知來(lái)自于自身的各項(xiàng)數(shù)據(jù)(例如步數(shù)、行走距離、卡路里、心跳、GPS坐標(biāo)等)。這些數(shù)據(jù)被搜集起來(lái)并在后臺(tái)中進(jìn)行分析，并形成具象化結(jié)論，告訴消費(fèi)者自身的健康情況、運(yùn)動(dòng)情況，甚至形成直接建議。

正在進(jìn)化的可穿戴設(shè)備將更多的成為信息輸入和輸出混合設(shè)備，這種設(shè)備指既能采集數(shù)據(jù)，又能對(duì)數(shù)據(jù)作過(guò)濾處理并顯示出來(lái)的設(shè)備。比如谷歌眼鏡：其配備了可以捕獲實(shí)景的攝像頭，并且能通過(guò)視網(wǎng)膜投影裝置將數(shù)據(jù)輸出給用戶。這類信息輸入和輸出設(shè)備能夠允許用戶做很多事情，例如提供健康調(diào)整建議、控制家庭設(shè)備等，而黑客一旦入侵此類設(shè)備，所能進(jìn)行的破壞行動(dòng)將足以讓更多的人憂慮。

而且，設(shè)備功能越多，被用來(lái)進(jìn)行攻擊的手段也就越多。專家指出：“現(xiàn)在的可穿戴設(shè)備已經(jīng)內(nèi)置了越來(lái)越多的功能，在很多應(yīng)用場(chǎng)景中，黑客已經(jīng)可以通過(guò)Wi-Fi網(wǎng)絡(luò)、藍(lán)牙、NFC、聲音等多種方式發(fā)動(dòng)攻擊，各種傳感器的應(yīng)用同樣增加了黑客可資利用的途徑，用戶受攻擊的風(fēng)險(xiǎn)自然會(huì)相應(yīng)提升?！?/p>

一個(gè)稍微可以緩解我們擔(dān)憂的事實(shí)是，這些可穿戴設(shè)備基本都是新平臺(tái)，其系統(tǒng)架構(gòu)與產(chǎn)品特點(diǎn)顯著差異于傳統(tǒng)的信息設(shè)備，這使得黑客不得不花費(fèi)一定的時(shí)間去研究這些新平臺(tái)。隨著產(chǎn)品的日趨成熟，攻擊者逐漸理解掌握了設(shè)備內(nèi)部工作原理后，新平臺(tái)就會(huì)變得不再安全。

對(duì)于可穿戴設(shè)備的攻擊將“全面開(kāi)花”

黑客并不會(huì)只針對(duì)可穿戴設(shè)備的進(jìn)行單點(diǎn)攻擊，而是會(huì)將攻擊目標(biāo)擴(kuò)大到整個(gè)信息鏈條，尋找最薄弱的環(huán)節(jié)，與可穿戴設(shè)備有關(guān)的云服務(wù)提供商、中間服務(wù)提供商乃至于可穿戴設(shè)備本身都有可能成為攻擊的目標(biāo)。具體來(lái)看，這些攻擊將包括以下幾種方式：

1、針對(duì)可穿戴設(shè)備的云服務(wù)供應(yīng)商進(jìn)行攻擊

目前，可穿戴設(shè)備的服務(wù)基本都是基于云計(jì)算網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)的，云服務(wù)提供商存儲(chǔ)、處理著大量用戶的隱私數(shù)據(jù)，因此攻擊者往往會(huì)通過(guò)入侵云服務(wù)供應(yīng)商訪問(wèn)存儲(chǔ)在云端的數(shù)據(jù)。這種攻擊具備更多傳統(tǒng)攻擊的色彩，攻擊者可能會(huì)利用針對(duì)性攻擊的方式尋找云服務(wù)供應(yīng)商的安全薄弱點(diǎn)所在，并進(jìn)行更隱蔽、更具威脅性的攻擊，以竊取用戶賬戶等信息。

一旦用戶賬戶被攻破，攻擊者就能看到可穿戴設(shè)備上的數(shù)據(jù)，了解更詳細(xì)的用戶信息，從而利于他們有針對(duì)性地實(shí)施非法行發(fā)送垃圾信息。這并不是一件新鮮事：2011年，比特幣交易網(wǎng)站MtGox遭遇了數(shù)據(jù)泄露，其用戶就收到了針對(duì)性的金融服務(wù)垃圾郵件。作為比特幣的用戶，垃圾郵件發(fā)送者認(rèn)為他們會(huì)更有可能相信金融相關(guān)的詐騙，而不是對(duì)減肥產(chǎn)品感興趣。

2、針對(duì)中間應(yīng)用進(jìn)行攻擊

現(xiàn)在，應(yīng)用開(kāi)發(fā)商為可穿戴設(shè)備開(kāi)發(fā)了越來(lái)越多的針對(duì)性應(yīng)用，由于這些應(yīng)用并不會(huì)至于統(tǒng)一的安全規(guī)范之下，安全情況也是未知的，因此這就給攻擊者提供了更多的攻擊方式。做到這一點(diǎn)最簡(jiǎn)單的方法是讓用戶安裝惡意應(yīng)用，而大多數(shù)攻擊者會(huì)利用那些安全審核不嚴(yán)格的第三方應(yīng)用商店來(lái)做到這一點(diǎn)。

在此類攻擊中，攻擊者會(huì)搜索到受害者更完整的數(shù)據(jù)，從而選定適合受害者去安裝的應(yīng)用。例如，惡意軟件可以開(kāi)發(fā)適用于Apple Watch的惡意應(yīng)用，利用它來(lái)隨時(shí)確定用戶的所在位置，并進(jìn)行基于用戶的地理位置的廣告或者點(diǎn)擊欺詐。

3、直接入侵可穿戴設(shè)備

攻擊者可以從傳統(tǒng)APT攻擊中獲得啟發(fā)，進(jìn)而針對(duì)性的入侵。當(dāng)然，這種入侵一般是針對(duì)那些高價(jià)值的目標(biāo)(例如政界、商界人士，意見(jiàn)領(lǐng)袖等)，其攻擊范圍包括了從個(gè)人數(shù)據(jù)竊取到對(duì)相機(jī)設(shè)備實(shí)體的破壞。此類攻擊會(huì)影響到他們的日常生活，還會(huì)對(duì)在專業(yè)領(lǐng)域使用的設(shè)備產(chǎn)生重大影響：一個(gè)簡(jiǎn)單的拒絕服務(wù)攻擊可以阻止醫(yī)生做手術(shù)或阻止執(zhí)法人員采集輸入數(shù)據(jù)來(lái)追捕罪犯。

這些攻擊最常利用的功能就是藍(lán)牙，而隨著可穿戴設(shè)備的進(jìn)化，也可能會(huì)包括聲音、NFC等更多的方式。一般來(lái)說(shuō)，攻擊者需要在物理上接近目標(biāo)設(shè)備，這縮小了攻擊目標(biāo)的范圍，也增加了攻擊的難度，但對(duì)于特定的目標(biāo)來(lái)說(shuō)，這一攻擊仍然具備極高的危險(xiǎn)性。

防范針對(duì)可穿戴設(shè)備的攻擊需未雨綢繆

隨著針對(duì)可穿戴設(shè)備的攻擊還很少，但隨著可穿戴設(shè)備應(yīng)用生態(tài)的不斷完善，使用人數(shù)的不斷增加，可以預(yù)測(cè)針對(duì)可穿戴設(shè)備的攻擊將會(huì)顯著的增多。那么，如何防范針對(duì)可穿戴設(shè)備的攻擊呢。專家指出：“目前可穿戴設(shè)備的風(fēng)險(xiǎn)大多集中在應(yīng)用生態(tài)的上游鏈條，因此可穿戴服務(wù)提供商擔(dān)負(fù)著尤為重要的安全責(zé)任，服務(wù)商除了需要加強(qiáng)網(wǎng)絡(luò)安全防御措施的強(qiáng)化與對(duì)攻擊跡象的洞察之外，還需要在設(shè)備中采取更嚴(yán)密的安全協(xié)議，保證用戶數(shù)據(jù)的安全。同時(shí)也要提醒消費(fèi)者，不要隨意將可穿戴設(shè)備產(chǎn)生的個(gè)人隱私數(shù)據(jù)進(jìn)行社交分享，避免不必要的風(fēng)險(xiǎn)?！?/p>

而可穿戴設(shè)備的終端用戶也需要對(duì)此有更多的警惕，除了在選擇可穿戴設(shè)備、安裝應(yīng)用上提高警惕，盡量選擇信譽(yù)有保障的服務(wù)商之外。還需要認(rèn)識(shí)到，可穿戴設(shè)備終究只是一款信息交互設(shè)備，它不能夠完全指導(dǎo)我們應(yīng)該怎樣生活，所以不要把自己的所有信息都暴露在其中，也不要對(duì)其每一個(gè)建議都堅(jiān)信不疑。