Scott+Register

增強現(xiàn)實技術(shù)（Augmented Reality，以下簡稱AR）已不是什么新鮮事了，但最近隨著Pokémon GO游戲持續(xù)火爆，我們不得不承認(rèn)，一場技術(shù)進步和文化變遷的共同產(chǎn)物—AR時代已經(jīng)來臨。

事實上，現(xiàn)在的移動設(shè)備已經(jīng)具有足夠的計算處理能力和連接能力支持AR，盡管這里存在潛在的隱私泄露風(fēng)險。而我們每個人也都已習(xí)慣于設(shè)備的實時在線、實時定位，這也逐漸成為我們?nèi)粘Ｉ畹囊徊糠帧?/p>

然而，由于越來越多AR應(yīng)用的不斷涌現(xiàn)，AR將對企業(yè)的網(wǎng)絡(luò)和安全造成重大影響。而那些尚未做好充分準(zhǔn)備的企業(yè)，必將面臨真正的安全風(fēng)險?？梢栽囅胍幌?，如果某位員工只要將他的AR設(shè)備指向辦公室的某一臺打印機，他可以立刻看清楚打印機從墨盒更換到清除卡紙的每個步驟；再比方，變電站的維護工程師，利用平板電腦就可以了解某些關(guān)鍵設(shè)備的維修信息。以上這兩種場景均屬于AR技術(shù)的應(yīng)用，從中我們可以看到，AR蘊藏的巨大商業(yè)潛力。

但同時也不難看出，AR技術(shù)本身存在的風(fēng)險，實現(xiàn)所有這些神奇功能的流量將會經(jīng)過您的網(wǎng)絡(luò)，而這期間也將會暴露你的諸多細(xì)節(jié)信息：IP地址、位置、設(shè)備類型、用戶許可等等。如果黑客可以竊取這些流量，事實上黑客們已經(jīng)能夠竊取到Pokémon GO游戲者的流量——那么，又將泄露用戶的哪些信息呢？

有鑒于此，美國五角大樓和以色列國防軍，已全面禁止其員工下載Pokémon GO游戲，因為該應(yīng)用可能會對其安全造成影響。那么，AR將給企業(yè)帶來哪些真正風(fēng)險呢？又該如何避免這些風(fēng)險呢？

數(shù)據(jù)中都包含什么？

為了了解這一點，我們先來看看AR應(yīng)用所產(chǎn)生的網(wǎng)絡(luò)流量的類型，以及它會泄露哪些信息。 Ixia的應(yīng)用和威脅情報研究人員，最近對Pokémon GO應(yīng)用和任天堂服務(wù)器（該應(yīng)用的開發(fā)商）之間的通訊進行了分析，并獲得了一些有關(guān)安全問題的重要發(fā)現(xiàn)。

Pokémon GO正如其他AR應(yīng)用一樣，采用了設(shè)備的位置數(shù)據(jù)，根據(jù)用戶周圍環(huán)境，向其提供適當(dāng)信息。所以我們不難想象，黑客在將用戶的位置數(shù)據(jù)與其他個人信息相結(jié)合后（不要忘記最初的Pokémon GO用戶協(xié)議允許任天堂公司訪問用戶信息，包括Google個人頁面，瀏覽歷史和之前的搜索），就能夠輕松描繪出該用戶行為的詳細(xì)畫面。所以，此類信息在犯罪分子眼中，是極具價值的。

同時，Pokémon GO應(yīng)用與服務(wù)器之間的通訊，是通過HTTPS完成的，但是，該應(yīng)用的早期版本并不支持證書鎖定（certificate pinning）， 極易被“中間人”利用并攔截數(shù)據(jù)。

因此，不難看出，AR應(yīng)用暴露的用戶特定數(shù)據(jù)，就像它們的正常功能部分一樣，一旦應(yīng)用安全存在漏洞，黑客就有可能趁虛而入，竊取和操縱數(shù)據(jù)。而問題的關(guān)鍵是，AR的本質(zhì)就是為用戶提供個性化個人情境，即現(xiàn)實增強版。這意味著，AR應(yīng)用必須接入一些個性化數(shù)據(jù)，才能提供服務(wù)—包括：位置信息、購物記錄、財務(wù)信息或任何其他信息。難道希望這些信息流出企業(yè)內(nèi)網(wǎng)嗎？

惡意軟件

接下來還有惡意軟件問題。就在 Pokémon GO發(fā)布后的第四天，網(wǎng)絡(luò)罪犯團伙就創(chuàng)建了一個假的Pokémon GO版本，并嵌入了惡意軟件，這就給犯罪份子提供了一個非常方便的手段，可以將惡意軟件植入到其他新的AR應(yīng)用中。AR應(yīng)用中的惡意軟件幾乎難以勝數(shù)，例如用于捕捉用戶登錄信息的鍵盤記錄器；感染設(shè)備之后，能夠渾然不覺地進行數(shù)據(jù)竊取和通訊的移動遠(yuǎn)程訪問木馬（mRAT）；再者是，通過設(shè)備向網(wǎng)絡(luò)下載惡意軟件的代理程序。

誰來管控？

因此，各企業(yè)現(xiàn)在必須考慮，如何針對網(wǎng)絡(luò)中的AR應(yīng)用進行最佳管理和控制。以便在下一次AR熱潮到來之前搶占先機，并提前部署安全防護措施。

您需要考慮三個重要因素，首當(dāng)其沖是移動設(shè)備管理（MDM）解決方案，因為類似 Pokémon GO 這樣的AR應(yīng)用大多都集中于智能手機應(yīng)用市場。其次，員工培訓(xùn)和安全意識也非常重要，人為錯誤和疏忽往往是網(wǎng)絡(luò)犯罪份子瞄準(zhǔn)的關(guān)鍵薄弱點。

第三個關(guān)鍵因素是網(wǎng)絡(luò)中應(yīng)用流量的可視性，為了防止敏感數(shù)據(jù)泄露或惡意數(shù)據(jù)入侵，必須在任何時候都能全面、實時地監(jiān)測網(wǎng)絡(luò)流量。許多已有的工具和解決方案，都能幫助獲得此等可視性；而真正需要的是智能過濾和分發(fā)功能，涵蓋整個7層應(yīng)用流和加密流量，并以線速運行、零丟包率等。如果缺少這種端到端的可視性，“增強現(xiàn)實”很可能就會給企業(yè)帶來“增強的風(fēng)險”。