可穿戴設備遇“木桶效應”安全或成最短板

■張建國

防火墻

可穿戴設備遇“木桶效應”安全或成最短板

■張建國

在今年的蘋果新品發布會上，Apple Watch的亮相再一次讓可穿戴設備成為業界的焦點話題。大多數人都認為，可穿戴設備將是未來消費電子產品的必然發展方向，同時也是手機等現有信息終端的革新者與顛覆者。但是，在我們翹首期盼可穿戴時代到來的同時，也不可忘記其存在的信息安全風險，這有可能成為決定可穿戴設備行業發展高度的最短的那一塊“木板”。

可穿戴設備功能越強大安全問題就越值得擔憂

顧名思義，可穿戴設備就是可以穿戴在身體上的信息交互設備。與傳統信息交互設備不同的是，其往往內置各種傳感器，直接感知來自于自身的各項數據(例如步數、行走距離、卡路里、心跳、GPS坐標等)。這些數據被搜集起來并在后臺中進行分析，并形成具象化結論，告訴消費者自身的健康情況、運動情況，甚至形成直接建議。

正在進化的可穿戴設備將更多的成為信息輸入和輸出混合設備，這種設備指既能采集數據，又能對數據作過濾處理并顯示出來的設備。比如谷歌眼鏡：其配備了可以捕獲實景的攝像頭，并且能通過視網膜投影裝置將數據輸出給用戶。這類信息輸入和輸出設備能夠允許用戶做很多事情，例如提供健康調整建議、控制家庭設備等，而黑客一旦入侵此類設備，所能進行的破壞行動將足以讓更多的人憂慮。

而且，設備功能越多，被用來進行攻擊的手段也就越多。專家指出：“現在的可穿戴設備已經內置了越來越多的功能，在很多應用場景中，黑客已經可以通過Wi-Fi網絡、藍牙、NFC、聲音等多種方式發動攻擊，各種傳感器的應用同樣增加了黑客可資利用的途徑，用戶受攻擊的風險自然會相應提升。”

一個稍微可以緩解我們擔憂的事實是，這些可穿戴設備基本都是新平臺，其系統架構與產品特點顯著差異于傳統的信息設備，這使得黑客不得不花費一定的時間去研究這些新平臺。隨著產品的日趨成熟，攻擊者逐漸理解掌握了設備內部工作原理后，新平臺就會變得不再安全。

對于可穿戴設備的攻擊將“全面開花”

黑客并不會只針對可穿戴設備的進行單點攻擊，而是會將攻擊目標擴大到整個信息鏈條，尋找最薄弱的環節，與可穿戴設備有關的云服務提供商、中間服務提供商乃至于可穿戴設備本身都有可能成為攻擊的目標。具體來看，這些攻擊將包括以下幾種方式：

1、針對可穿戴設備的云服務供應商進行攻擊

目前，可穿戴設備的服務基本都是基于云計算網絡來實現的，云服務提供商存儲、處理著大量用戶的隱私數據，因此攻擊者往往會通過入侵云服務供應商訪問存儲在云端的數據。這種攻擊具備更多傳統攻擊的色彩，攻擊者可能會利用針對性攻擊的方式尋找云服務供應商的安全薄弱點所在，并進行更隱蔽、更具威脅性的攻擊，以竊取用戶賬戶等信息。

一旦用戶賬戶被攻破，攻擊者就能看到可穿戴設備上的數據，了解更詳細的用戶信息，從而利于他們有針對性地實施非法行發送垃圾信息。這并不是一件新鮮事：2011年，比特幣交易網站MtGox遭遇了數據泄露，其用戶就收到了針對性的金融服務垃圾郵件。作為比特幣的用戶，垃圾郵件發送者認為他們會更有可能相信金融相關的詐騙，而不是對減肥產品感興趣。

2、針對中間應用進行攻擊

現在，應用開發商為可穿戴設備開發了越來越多的針對性應用，由于這些應用并不會至于統一的安全規范之下，安全情況也是未知的，因此這就給攻擊者提供了更多的攻擊方式。做到這一點最簡單的方法是讓用戶安裝惡意應用，而大多數攻擊者會利用那些安全審核不嚴格的第三方應用商店來做到這一點。

在此類攻擊中，攻擊者會搜索到受害者更完整的數據，從而選定適合受害者去安裝的應用。例如，惡意軟件可以開發適用于Apple Watch的惡意應用，利用它來隨時確定用戶的所在位置，并進行基于用戶的地理位置的廣告或者點擊欺詐。

3、直接入侵可穿戴設備

攻擊者可以從傳統APT攻擊中獲得啟發，進而針對性的入侵。當然，這種入侵一般是針對那些高價值的目標(例如政界、商界人士，意見領袖等)，其攻擊范圍包括了從個人數據竊取到對相機設備實體的破壞。此類攻擊會影響到他們的日常生活，還會對在專業領域使用的設備產生重大影響：一個簡單的拒絕服務攻擊可以阻止醫生做手術或阻止執法人員采集輸入數據來追捕罪犯。

這些攻擊最常利用的功能就是藍牙，而隨著可穿戴設備的進化，也可能會包括聲音、NFC等更多的方式。一般來說，攻擊者需要在物理上接近目標設備，這縮小了攻擊目標的范圍，也增加了攻擊的難度，但對于特定的目標來說，這一攻擊仍然具備極高的危險性。

防范針對可穿戴設備的攻擊需未雨綢繆

隨著針對可穿戴設備的攻擊還很少，但隨著可穿戴設備應用生態的不斷完善，使用人數的不斷增加，可以預測針對可穿戴設備的攻擊將會顯著的增多。那么，如何防范針對可穿戴設備的攻擊呢。專家指出：“目前可穿戴設備的風險大多集中在應用生態的上游鏈條，因此可穿戴服務提供商擔負著尤為重要的安全責任，服務商除了需要加強網絡安全防御措施的強化與對攻擊跡象的洞察之外，還需要在設備中采取更嚴密的安全協議，保證用戶數據的安全。同時也要提醒消費者，不要隨意將可穿戴設備產生的個人隱私數據進行社交分享，避免不必要的風險。”

而可穿戴設備的終端用戶也需要對此有更多的警惕，除了在選擇可穿戴設備、安裝應用上提高警惕，盡量選擇信譽有保障的服務商之外。還需要認識到，可穿戴設備終究只是一款信息交互設備，它不能夠完全指導我們應該怎樣生活，所以不要把自己的所有信息都暴露在其中，也不要對其每一個建議都堅信不疑。