惠普公司发布的一项评估结果显示,具备网络和通信功能的智能手表成为了网络攻击新的前沿阵地。HP Fortify的研究发现,100%的被测智能手表存在重大漏洞,包括身份验证不充分、缺乏加密以及隐私保护问题。是危言耸听,还是善意提醒?
随着物联网市场的发展,智能手表因其便捷和强大的功能而日渐流行。在它们越来越成为主流设备之际,智能手表也越来越多地保存健康数据等敏感信息,并将通过连接移动应用而很快实现汽车和家庭解锁等物理访问功能。
惠普评估了10款智能手表以及它们的安卓和iOS云、移动应用组件,并发现了许多安全隐患。
首先是不充足的用户身份验证/授权。每个被测智能手表均采用移动界面,缺乏二元身份验证以及在3-5次密码尝试失败后锁定账号的能力。30%的被测智能手表很容易被盗号(密码保护政策太弱、缺乏账号锁定和用户枚举),这意味着攻击者可以获得访问设备和数据的权限。
第二是缺乏传输加密。鉴于个人信息被传输到云中的多个地点,传输加密至关重要。虽然所有被测产品均采用了SSL/TLS传输加密,但40%的云连接很容易受到POODLE攻击,允许使用弱密码或仍旧使用SSL v2。
第三则是隐私保护问题。所有智能手表都收集了某些形式的个人信息,例如姓名、地址、生日、体重、性别、心率和其他健康信息。鉴于某些产品存在账号枚举和使用弱密码(容易被破译的密码) 的问题,这些个人信息就会存在泄漏的风险。
热议
虽然智能手表可以提供有关人体健康和环境的宝贵数据,但它们也为更深层地侵犯隐私行为敞开了大门。黑客只要在智能手表中置入一个伪装的应用程序就能获取邮件、搜索引擎或保密文件中的信息。所有使用运动传感器的可穿戴式设备的安全性都同样薄弱。
——伊利诺伊大学教授 罗米特·罗伊·乔杜里
要获取智能手表上的数据对于专业黑客来讲是很轻而易举的事情,但是大家也不需要太过于惊慌。用户若没有丢失智能手表,那么黑客就没法拿到硬件,因此信息泄露的可能性就会降低。所以,预防黑客入侵的最好方法就是不要丢失自己的智能手表。
——纽黑文大学教授 Ibrahim Baggili
用户和应用开发者没有意识到信息会存储在“大量”服务器上。这为黑客获得这些数据提供了更多接入点,黑客可能在数据传输过程中截获数据或攻击存储数据的服务器。消费者可能没有意识到用于访问智能手表的移动应用和Web界面也会存在安全问题。随着智能手表普及率的提高,它们将成为对黑客有吸引力的攻击目标,因为用户在这些设备上存储着敏感信息,例如与购物有关的数据,甚至还有用于开门锁的数据。在购买一款智能手表时,人们通常不会考虑这些安全担忧和智能手表应用数据的使用方式,而是智能手表的功能,例如健身和健康追踪等。