可穿戴設備功能越強大 安全問題就越值得擔憂
顧名思義,可穿戴設備就是可以穿戴在身體上的信息交互設備。與傳統(tǒng)信息交互設備不同的是,其往往內(nèi)置各種傳感器,直接感知來自于自身的各項數(shù)據(jù)(例如步數(shù)、行走距離、卡路里、心跳、GPS坐標等)。這些數(shù)據(jù)被搜集起來并在后臺中進行分析,并形成具象化結論,告訴消費者自身的健康情況、運動情況,甚至形成直接建議。
正在進化的可穿戴設備將更多的成為信息輸入和輸出混合設備,這種設備指既能采集數(shù)據(jù),又能對數(shù)據(jù)作過濾處理并顯示出來的設備。比如谷歌眼鏡:其配備了可以捕獲實景的攝像頭,并且能通過視網(wǎng)膜投影裝置將數(shù)據(jù)輸出給用戶。這類信息輸入和輸出設備能夠允許用戶做很多事情,例如提供健康調(diào)整建議、控制家庭設備等,而黑客一旦入侵此類設備,所能進行的破壞行動將足以讓更多的人憂慮。
而且,設備功能越多,被用來進行攻擊的手段也就越多。趨勢科技(中國區(qū))業(yè)務發(fā)展總監(jiān)童寧指出:“現(xiàn)在的可穿戴設備已經(jīng)內(nèi)置了越來越多的功能,在很多應用場景中,黑客已經(jīng)可以通過Wi-Fi網(wǎng)絡、藍牙、NFC、聲音等多種方式發(fā)動攻擊,各種傳感器的應用同樣增加了黑客可資利用的途徑,用戶受攻擊的風險自然會相應提升。”
一個稍微可以緩解我們擔憂的事實是,這些可穿戴設備基本都是新平臺,其系統(tǒng)架構與產(chǎn)品特點顯著差異于傳統(tǒng)的信息設備,這使得黑客不得不花費一定的時間去研究這些新平臺。隨著產(chǎn)品的日趨成熟,攻擊者逐漸理解掌握了設備內(nèi)部工作原理后,新平臺就會變得不再安全。
對于可穿戴設備的攻擊將“全面開花”
黑客并不會只針對可穿戴設備的進行單點攻擊,而是會將攻擊目標擴大到整個信息鏈條,尋找最薄弱的環(huán)節(jié),與可穿戴設備有關的云服務提供商、中間服務提供商乃至于可穿戴設備本身都有可能成為攻擊的目標。具體來看,這些攻擊將包括以下幾種方式:
1、針對可穿戴設備的云服務供應商進行攻擊
目前,可穿戴設備的服務基本都是基于云計算網(wǎng)絡來實現(xiàn)的,云服務提供商存儲、處理著大量用戶的隱私數(shù)據(jù),因此攻擊者往往會通過入侵云服務供應商訪問存儲在云端的數(shù)據(jù)。這種攻擊具備更多傳統(tǒng)攻擊的色彩,攻擊者可能會利用針對性攻擊的方式尋找云服務供應商的安全薄弱點所在,并進行更隱蔽、更具威脅性的攻擊,以竊取用戶賬戶等信息。
一旦用戶賬戶被攻破,攻擊者就能看到可穿戴設備上的數(shù)據(jù),了解更詳細的用戶信息,從而利于他們有針對性地實施非法行發(fā)送垃圾信息。這并不是一件新鮮事:2011年,比特幣交易網(wǎng)站MtGox遭遇了數(shù)據(jù)泄露,其用戶就收到了針對性的金融服務垃圾郵件。作為比特幣的用戶,垃圾郵件發(fā)送者認為他們會更有可能相信金融相關的詐騙,而不是對減肥產(chǎn)品感興趣。
2、針對中間應用進行攻擊
現(xiàn)在,應用開發(fā)商為可穿戴設備開發(fā)了越來越多的針對性應用,由于這些應用并不會至于統(tǒng)一的安全規(guī)范之下,安全情況也是未知的,因此這就給攻擊者提供了更多的攻擊方式。做到這一點最簡單的方法是讓用戶安裝惡意應用,而大多數(shù)攻擊者會利用那些安全審核不嚴格的第三方應用商店來做到這一點。
在此類攻擊中,攻擊者會搜索到受害者更完整的數(shù)據(jù),從而選定適合受害者去安裝的應用。例如,惡意軟件可以開發(fā)適用于Apple Watch的惡意應用,利用它來隨時確定用戶的所在位置,并進行基于用戶的地理位置的廣告或者點擊欺詐。
3、直接入侵可穿戴設備
攻擊者可以從傳統(tǒng)APT攻擊中獲得啟發(fā),進而針對性的入侵。當然,這種入侵一般是針對那些高價值的目標(例如政界、商界人士,意見領袖等),其攻擊范圍包括了從個人數(shù)據(jù)竊取到對相機設備實體的破壞。此類攻擊會影響到他們的日常生活,還會對在專業(yè)領域使用的設備產(chǎn)生重大影響:一個簡單的拒絕服務攻擊可以阻止醫(yī)生做手術或阻止執(zhí)法人員采集輸入數(shù)據(jù)來追捕罪犯。
這些攻擊最常利用的功能就是藍牙,而隨著可穿戴設備的進化,也可能會包括聲音、NFC等更多的方式。一般來說,攻擊者需要在物理上接近目標設備,這縮小了攻擊目標的范圍,也增加了攻擊的難度,但對于特定的目標來說,這一攻擊仍然具備極高的危險性。
防范針對可穿戴設備的攻擊需未雨綢繆
隨著針對可穿戴設備的攻擊還很少,但隨著可穿戴設備應用生態(tài)的不斷完善,使用人數(shù)的不斷增加,可以預測針對可穿戴設備的攻擊將會顯著的增多。那么,如何防范針對可穿戴設備的攻擊呢。童寧指出:“目前可穿戴設備的風險大多集中在應用生態(tài)的上游鏈條,因此可穿戴服務提供商擔負著尤為重要的安全責任,服務商除了需要加強網(wǎng)絡安全防御措施的強化與對攻擊跡象的洞察之外,還需要在設備中采取更嚴密的安全協(xié)議,保證用戶數(shù)據(jù)的安全。同時也要提醒消費者,不要隨意將可穿戴設備產(chǎn)生的個人隱私數(shù)據(jù)進行社交分享,避免不必要的風險。”
而可穿戴設備的終端用戶也需要對此有更多的警惕,除了在選擇可穿戴設備、安裝應用上提高警惕,盡量選擇信譽有保障的服務商之外。還需要認識到,可穿戴設備終究只是一款信息交互設備,它不能夠完全指導我們應該怎樣生活,所以不要把自己的所有信息都暴露在其中,也不要對其每一個建議都堅信不疑。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839617190.html