Scott+Register

增強(qiáng)現(xiàn)實(shí)技術(shù)（Augmented Reality，以下簡(jiǎn)稱(chēng)AR）已不是什么新鮮事了，但最近隨著Pokémon GO游戲持續(xù)火爆，我們不得不承認(rèn)，一場(chǎng)技術(shù)進(jìn)步和文化變遷的共同產(chǎn)物—AR時(shí)代已經(jīng)來(lái)臨。

事實(shí)上，現(xiàn)在的移動(dòng)設(shè)備已經(jīng)具有足夠的計(jì)算處理能力和連接能力支持AR，盡管這里存在潛在的隱私泄露風(fēng)險(xiǎn)。而我們每個(gè)人也都已習(xí)慣于設(shè)備的實(shí)時(shí)在線(xiàn)、實(shí)時(shí)定位，這也逐漸成為我們?nèi)粘Ｉ畹囊徊糠帧?/p>

然而，由于越來(lái)越多AR應(yīng)用的不斷涌現(xiàn)，AR將對(duì)企業(yè)的網(wǎng)絡(luò)和安全造成重大影響。而那些尚未做好充分準(zhǔn)備的企業(yè)，必將面臨真正的安全風(fēng)險(xiǎn)。可以試想一下，如果某位員工只要將他的AR設(shè)備指向辦公室的某一臺(tái)打印機(jī)，他可以立刻看清楚打印機(jī)從墨盒更換到清除卡紙的每個(gè)步驟；再比方，變電站的維護(hù)工程師，利用平板電腦就可以了解某些關(guān)鍵設(shè)備的維修信息。以上這兩種場(chǎng)景均屬于AR技術(shù)的應(yīng)用，從中我們可以看到，AR蘊(yùn)藏的巨大商業(yè)潛力。

但同時(shí)也不難看出，AR技術(shù)本身存在的風(fēng)險(xiǎn)，實(shí)現(xiàn)所有這些神奇功能的流量將會(huì)經(jīng)過(guò)您的網(wǎng)絡(luò)，而這期間也將會(huì)暴露你的諸多細(xì)節(jié)信息：IP地址、位置、設(shè)備類(lèi)型、用戶(hù)許可等等。如果黑客可以竊取這些流量，事實(shí)上黑客們已經(jīng)能夠竊取到Pokémon GO游戲者的流量——那么，又將泄露用戶(hù)的哪些信息呢？

有鑒于此，美國(guó)五角大樓和以色列國(guó)防軍，已全面禁止其員工下載Pokémon GO游戲，因?yàn)樵搼?yīng)用可能會(huì)對(duì)其安全造成影響。那么，AR將給企業(yè)帶來(lái)哪些真正風(fēng)險(xiǎn)呢？又該如何避免這些風(fēng)險(xiǎn)呢？

數(shù)據(jù)中都包含什么？

為了了解這一點(diǎn)，我們先來(lái)看看AR應(yīng)用所產(chǎn)生的網(wǎng)絡(luò)流量的類(lèi)型，以及它會(huì)泄露哪些信息。 Ixia的應(yīng)用和威脅情報(bào)研究人員，最近對(duì)Pokémon GO應(yīng)用和任天堂服務(wù)器（該應(yīng)用的開(kāi)發(fā)商）之間的通訊進(jìn)行了分析，并獲得了一些有關(guān)安全問(wèn)題的重要發(fā)現(xiàn)。

Pokémon GO正如其他AR應(yīng)用一樣，采用了設(shè)備的位置數(shù)據(jù)，根據(jù)用戶(hù)周?chē)h(huán)境，向其提供適當(dāng)信息。所以我們不難想象，黑客在將用戶(hù)的位置數(shù)據(jù)與其他個(gè)人信息相結(jié)合后（不要忘記最初的Pokémon GO用戶(hù)協(xié)議允許任天堂公司訪問(wèn)用戶(hù)信息，包括Google個(gè)人頁(yè)面，瀏覽歷史和之前的搜索），就能夠輕松描繪出該用戶(hù)行為的詳細(xì)畫(huà)面。所以，此類(lèi)信息在犯罪分子眼中，是極具價(jià)值的。

同時(shí)，Pokémon GO應(yīng)用與服務(wù)器之間的通訊，是通過(guò)HTTPS完成的，但是，該應(yīng)用的早期版本并不支持證書(shū)鎖定（certificate pinning）， 極易被“中間人”利用并攔截?cái)?shù)據(jù)。

因此，不難看出，AR應(yīng)用暴露的用戶(hù)特定數(shù)據(jù)，就像它們的正常功能部分一樣，一旦應(yīng)用安全存在漏洞，黑客就有可能趁虛而入，竊取和操縱數(shù)據(jù)。而問(wèn)題的關(guān)鍵是，AR的本質(zhì)就是為用戶(hù)提供個(gè)性化個(gè)人情境，即現(xiàn)實(shí)增強(qiáng)版。這意味著，AR應(yīng)用必須接入一些個(gè)性化數(shù)據(jù)，才能提供服務(wù)—包括：位置信息、購(gòu)物記錄、財(cái)務(wù)信息或任何其他信息。難道希望這些信息流出企業(yè)內(nèi)網(wǎng)嗎？

惡意軟件

接下來(lái)還有惡意軟件問(wèn)題。就在 Pokémon GO發(fā)布后的第四天，網(wǎng)絡(luò)罪犯團(tuán)伙就創(chuàng)建了一個(gè)假的Pokémon GO版本，并嵌入了惡意軟件，這就給犯罪份子提供了一個(gè)非常方便的手段，可以將惡意軟件植入到其他新的AR應(yīng)用中。AR應(yīng)用中的惡意軟件幾乎難以勝數(shù)，例如用于捕捉用戶(hù)登錄信息的鍵盤(pán)記錄器；感染設(shè)備之后，能夠渾然不覺(jué)地進(jìn)行數(shù)據(jù)竊取和通訊的移動(dòng)遠(yuǎn)程訪問(wèn)木馬（mRAT）；再者是，通過(guò)設(shè)備向網(wǎng)絡(luò)下載惡意軟件的代理程序。

誰(shuí)來(lái)管控？

因此，各企業(yè)現(xiàn)在必須考慮，如何針對(duì)網(wǎng)絡(luò)中的AR應(yīng)用進(jìn)行最佳管理和控制。以便在下一次AR熱潮到來(lái)之前搶占先機(jī)，并提前部署安全防護(hù)措施。

您需要考慮三個(gè)重要因素，首當(dāng)其沖是移動(dòng)設(shè)備管理（MDM）解決方案，因?yàn)轭?lèi)似 Pokémon GO 這樣的AR應(yīng)用大多都集中于智能手機(jī)應(yīng)用市場(chǎng)。其次，員工培訓(xùn)和安全意識(shí)也非常重要，人為錯(cuò)誤和疏忽往往是網(wǎng)絡(luò)犯罪份子瞄準(zhǔn)的關(guān)鍵薄弱點(diǎn)。

第三個(gè)關(guān)鍵因素是網(wǎng)絡(luò)中應(yīng)用流量的可視性，為了防止敏感數(shù)據(jù)泄露或惡意數(shù)據(jù)入侵，必須在任何時(shí)候都能全面、實(shí)時(shí)地監(jiān)測(cè)網(wǎng)絡(luò)流量。許多已有的工具和解決方案，都能幫助獲得此等可視性；而真正需要的是智能過(guò)濾和分發(fā)功能，涵蓋整個(gè)7層應(yīng)用流和加密流量，并以線(xiàn)速運(yùn)行、零丟包率等。如果缺少這種端到端的可視性，“增強(qiáng)現(xiàn)實(shí)”很可能就會(huì)給企業(yè)帶來(lái)“增強(qiáng)的風(fēng)險(xiǎn)”。