無論是使用自行購買的可穿戴設(shè)備，還是在企業(yè)環(huán)境下進(jìn)行IT事務(wù)管理，追蹤裝置與智能手表等產(chǎn)品正變得愈發(fā)談及——但這也意味著可穿戴式設(shè)備很可能成為網(wǎng)絡(luò)犯罪分子們的下一類重要攻擊目標(biāo)。

如果大家剛剛在購物季當(dāng)中為自己買到了心儀的可穿戴式設(shè)備，恭喜!您已經(jīng)迎來了新的、可追蹤的、充斥著大量數(shù)據(jù)的生活紀(jì)元!

[[162552]]

當(dāng)然，您同時(shí)也把新的攻擊目標(biāo)請回了家中。

“每一項(xiàng)數(shù)字化技術(shù)在逐步迎來更加廣泛的使用范疇之后，也會成功吸引到黑客與犯罪分子們的覬覦目光，”ESET公司的Stephen Cobb表示。“因此，如果可穿戴式設(shè)備真的全面走向普及，那么犯罪分子自然也會將其作為下一種攻擊目標(biāo)，并試圖借此為自己牟取利益。”

作為ESET公司的資深安全研究人員，Cobb指出他還沒有真正經(jīng)歷過指向可穿戴式設(shè)備的攻擊活動(dòng)，但這并不是說我們還可以繼續(xù)高枕無憂地面對未來。

他在最近針對偉易達(dá)(一家專門生產(chǎn)兒童可穿戴設(shè)備的廠商)的報(bào)告當(dāng)中指出，該公司的客戶數(shù)據(jù)庫已經(jīng)遭到入侵——而其中包含有來自約500萬家長及20萬名兒童用戶的個(gè)人信息。

“偉易達(dá)公司的部分玩具產(chǎn)品能夠拍照并將部分照片共享至其后端系統(tǒng)當(dāng)中，”Cobb解釋稱。“考慮到其屬于可穿戴式設(shè)備，照片當(dāng)中很可能包含位置信息甚至是與兒童個(gè)人健康狀況相關(guān)的信息。”

不過也有一些好消息值得關(guān)注：消費(fèi)者們已經(jīng)開始懷疑其可穿戴式設(shè)備的安全保護(hù)能力。根據(jù)Auth0方面發(fā)起的一項(xiàng)研究顯示，有52%的受訪消費(fèi)者認(rèn)為物聯(lián)網(wǎng)設(shè)備不具備與之功能相適應(yīng)的安全保護(hù)能力。由此看來，有意購買可穿戴式設(shè)備的消費(fèi)者們已經(jīng)開始對相關(guān)產(chǎn)品的安全水平保持警惕。

然而，根據(jù)偉易達(dá)安全事故之影響加上Cobb的預(yù)測，整個(gè)體系當(dāng)中最為薄弱的環(huán)節(jié)并不在于設(shè)備本身。事實(shí)上，負(fù)責(zé)對所收集信息進(jìn)行存儲的數(shù)據(jù)庫才是最值得擔(dān)憂的組成部分。

“如果有人打算針對可穿戴式設(shè)備廠商從消費(fèi)者處收集到的數(shù)據(jù)下手，特別是那些一直覬覦客戶姓名、住址、個(gè)人身份信息乃至其它敏感數(shù)據(jù)的犯罪分子，”他表示，那么他們很可能有機(jī)會席卷這些重要資訊。另外，如果他們擁有實(shí)時(shí)上傳來的位置信息，那么就能夠了解到哪些客戶目前并不在家，并據(jù)此組織入室盜竊等行動(dòng)——Facebook公司在發(fā)展早期就遇到過這類情況，犯罪分子會根據(jù)受害者張貼的度假照片猜測其目前并不在家。

而另一種可能性在于，Cobb指出，考慮到其可能面對的來自聯(lián)邦貿(mào)易委員會的嚴(yán)厲制裁，各可穿戴式設(shè)備廠商必須在未來對其數(shù)據(jù)庫進(jìn)行悉心保護(hù)。

他同時(shí)強(qiáng)調(diào)稱，消費(fèi)者應(yīng)當(dāng)認(rèn)真檢查相關(guān)可穿戴設(shè)備的制造廠商以及使用此類數(shù)據(jù)的第三方應(yīng)用產(chǎn)品的隱私政策聲明，從而了解各方會如何利用我們的隱私信息。如果某款應(yīng)用壓根沒有提到所謂隱私保護(hù)策略，那么請馬上停止使用。

可穿戴式設(shè)備在工作環(huán)境下的安全性令人擔(dān)憂

如果大家是一家企業(yè)的CIO且需要處理大量敏感信息——無論是健康信息、企業(yè)交易機(jī)密、財(cái)務(wù)數(shù)據(jù)抑或是委托人權(quán)限等等——那么在將可穿戴設(shè)備引入工作環(huán)境之前必須考慮其合法性。

“我會對谷歌眼鏡以及智能手表內(nèi)置攝像頭等等能夠記錄音頻與視頻的裝置表示擔(dān)憂，”?？怂沽_斯柴爾德律師事務(wù)所首席隱私官兼合伙人Mark McCreary指出。“在數(shù)據(jù)保護(hù)工作當(dāng)中，這是我們需要加以優(yōu)先關(guān)注的重點(diǎn)所在。”

即使員工本人只是出于無心而記錄下某些重要信息(例如在工作過程中錄制了一段與工作毫不相關(guān)的搞笑視頻)，這些視頻或者音頻同樣有可能包含敏感數(shù)據(jù)并被上傳到云等不同位置——這些位置的安全性往往無法與企業(yè)的內(nèi)部系統(tǒng)相提并論。

“這些信息可能存在多份副本，而且我們對這些數(shù)據(jù)完全不具備控制權(quán)，”McCreary表示。他將此比喻為員工在家中使用Dropbox。將信息保存在Dropbox當(dāng)中已經(jīng)受到明令禁止，而同樣的情況也應(yīng)當(dāng)被引入對可穿戴設(shè)備的管理工作當(dāng)中。

另外，某些未經(jīng)許可的人也可能借其它能夠查看企業(yè)所記錄的數(shù)據(jù)或者辦公信息的第三方處竊取資訊(請記住，Target公司之所以受到黑客攻擊，恰恰是是由于一家溫控與空調(diào)廠商的緣故)。這種狀況往往不太明顯，特別是在通過可穿戴式設(shè)備實(shí)現(xiàn)的情況之下——例如進(jìn)入我們內(nèi)部環(huán)境的第三方人員通過手機(jī)拍攝視頻或者錄制音頻。

在這類情況下，McCreary表示，特別是考慮到企業(yè)可能需要處理大量敏感信息，我們可能應(yīng)當(dāng)禁用工作場合下可穿戴設(shè)備的記錄功能或者根本不允許相關(guān)人員攜帶此類裝置進(jìn)入存在敏感信息的位置。

人力資源眼中的可穿戴式設(shè)備

某些企業(yè)正在著手為員工發(fā)放Fitbit等追蹤設(shè)備，并將其作為個(gè)人健康計(jì)劃的組成部分。雖然這一決定的背后動(dòng)機(jī)可能是好的，XphertHR網(wǎng)站的一位法務(wù)編輯表示，但這可能意味著人力資源與法務(wù)部門有機(jī)會借此獲取并查看個(gè)人數(shù)據(jù)。

“目前關(guān)于隱私侵犯的問題可謂多種多樣，”她解釋稱，特別是在雇主對個(gè)人健康信息加以監(jiān)控的條件之下。舉例來說，除了Zip型號之外，所有Fitbit設(shè)備都能夠記錄員工的日常行為乃至睡眠模式，而員工當(dāng)然不希望這些隱私數(shù)據(jù)被企業(yè)所掌握。

另外，由企業(yè)發(fā)放的可穿戴式設(shè)備還會引發(fā)個(gè)人時(shí)間與隱私時(shí)間等定義難題。“使用可穿戴式設(shè)備的員工們有可能無法確切分割工作時(shí)間與非工作時(shí)間之間的界線，”她指出。“而雇主則可能需要為此支付加班費(fèi)。”

她同時(shí)補(bǔ)充稱，如果一臺設(shè)備能夠記錄視頻或者音頻，那么雇主需要確保這些設(shè)備不會訪問到有違法律要求的信息，例如那些企業(yè)無權(quán)參與的工會活動(dòng)，否則有可能造成與國家勞動(dòng)關(guān)系法間的沖突。

根據(jù)Zoller的說法，在工作環(huán)境下處理可穿戴式設(shè)備的最佳 方式就是“建立一項(xiàng)管理政策，明確限定雇主在其中的定位、員工該如何使用這些可穿戴式設(shè)備，同時(shí)培訓(xùn)雇主、管理者以及員工”了解可穿戴式設(shè)備在工作當(dāng)中能夠與不能實(shí)現(xiàn)哪些用途。而且相關(guān)可穿戴設(shè)備使用指南應(yīng)當(dāng)發(fā)布在企業(yè)的官方網(wǎng)站當(dāng)中。

毫無疑問，可穿戴式設(shè)備將建立起一個(gè)規(guī)?？捎^的新行業(yè)，但其仍處于起步階段而且需要經(jīng)受黑客世界的嚴(yán)酷洗禮——盡管我們尚不知相關(guān)攻擊會在何時(shí)、何地、如何出現(xiàn)。“每一波技術(shù)浪潮都會帶來新的、可資利用的安全薄弱環(huán)節(jié)與漏洞，”Cobb表示。“而作為一大新興產(chǎn)物，可穿戴式設(shè)備也需要成為我們密切加以關(guān)注的新型威脅領(lǐng)域。”

原文標(biāo)題：How secure are wearables, anyway?

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】