侯沁

現(xiàn)代人對于個(gè)人健康越來越重視，在朋友圈里曬上一張一天行走步數(shù)統(tǒng)計(jì)圖或者跑步行程圖的人越來越多。為什么大家會熱衷于“曬運(yùn)動(dòng)”呢？除了大家對健康生活的向往之外，市面上各種類型健身手環(huán)的流行也功不可沒。

這類可穿戴設(shè)備能夠幫助人們管理自己的體力活動(dòng)以及卡路里攝入，讓人們保持體形。與此同時(shí)，這些設(shè)備也會處理用戶的不少重要個(gè)人數(shù)據(jù)。那么，這類可穿戴設(shè)備究竟是否安全呢？

卡巴斯基實(shí)驗(yàn)室安全研究專家Roman Unuchek對多種健康手環(huán)同智能手機(jī)之間的互動(dòng)進(jìn)行了檢測，并且發(fā)現(xiàn)了一些意想不到的結(jié)果。

這項(xiàng)研究的結(jié)果顯示，多種常見智能手環(huán)所使用的驗(yàn)證手段均允許第三方隱身連接至這些可穿戴設(shè)備，并執(zhí)行命令。在有些情況下第三方還可以從這些設(shè)備中獲取數(shù)據(jù)。

盡管在卡巴斯基實(shí)驗(yàn)室安全專家所調(diào)查的可穿戴設(shè)備中，第三方僅能獲取使用者在過去幾個(gè)小時(shí)中行走距離等個(gè)人數(shù)據(jù)。但是，不難想象，未來當(dāng)下一代健康手環(huán)上市后，將會有更多數(shù)據(jù)面臨泄露的風(fēng)險(xiǎn)。而使用者的敏感醫(yī)療數(shù)據(jù)一旦泄漏，則可能造成嚴(yán)重潛在危害。

實(shí)際上，這些非法連接之所以成功是因?yàn)橹悄苁汁h(huán)和智能手機(jī)所使用的配對方法。根據(jù)Roman Unuchek的研究，在運(yùn)行Android 4.3或更高版本的安卓設(shè)備上安裝一款特殊的未授權(quán)應(yīng)用，就可以同特定廠商生產(chǎn)的智能手環(huán)進(jìn)行配對。用戶僅需按下智能手環(huán)上的一個(gè)按鈕，對配對進(jìn)行確認(rèn)，即可建立連接。攻擊者可以很容易解決這一難題，因?yàn)楝F(xiàn)在大多數(shù)健康手環(huán)都沒有屏幕。當(dāng)手環(huán)震動(dòng)，提示用戶對配對進(jìn)行確認(rèn)時(shí)，受害者無法知曉所連接的設(shè)備究竟是自己的，還是他人的設(shè)備。

Roman Unuchek進(jìn)一步分析表示：“這一概念性技術(shù)驗(yàn)證測試取決于很多條件，才能夠成功進(jìn)行攻擊。而且最后，攻擊者也無法收集到真正重要的數(shù)據(jù)，例如密碼或信用卡號碼等。但是，它卻證實(shí)攻擊者可以利用設(shè)備開發(fā)者留下的安全漏洞進(jìn)行攻擊。目前的健身追蹤器功能相對較少，僅能夠計(jì)算使用者所走的步數(shù)，跟蹤用戶的睡眠周期等。但是這類設(shè)備的第二代產(chǎn)品即將推出，最新設(shè)備將能夠收集更多關(guān)于用戶的信息。所以，思考這些設(shè)備的安全性非常重要。我們需要確保追蹤器設(shè)備同智能手機(jī)之間的互動(dòng)得到適當(dāng)?shù)陌踩Ｗo(hù)?！?