国产精品肥熟女老太老妇_自拍浮力视频在线观看_在线观看亚洲av日韩a∨_无码人妻精品一区二区91

蘋果的架構(gòu)也不能完全避免攻擊

隨著可穿戴設備市場走熱，可穿戴設備追求市場定位分層的同時，針對不同消費者，將開發(fā)越來越豐富的功能性產(chǎn)品。

但因為可穿戴設備產(chǎn)生的數(shù)據(jù)涉及諸多個人隱私，廠商應如何突破新興領(lǐng)域的安全問題成為關(guān)注焦點。

國內(nèi)互聯(lián)網(wǎng)安全漏洞平臺烏云網(wǎng)一位網(wǎng)絡工程師告訴21世紀經(jīng)濟報道記者，可穿戴領(lǐng)域目前還沒有相關(guān)網(wǎng)絡安全的技術(shù)標準。作為新興產(chǎn)物，可穿戴設備產(chǎn)生的數(shù)據(jù)，介于個人網(wǎng)絡數(shù)據(jù)與醫(yī)療數(shù)據(jù)之間。但它模糊了兩者的邊界，醫(yī)療數(shù)據(jù)屬于強監(jiān)管行業(yè)，有許多規(guī)范限制著；網(wǎng)絡數(shù)據(jù)則是弱監(jiān)管領(lǐng)域，不同廠商保障數(shù)據(jù)的能力良莠不齊，即使以最低要求，對數(shù)據(jù)進行加密，可能有些廠商也做得不好。

而從可穿戴設備的數(shù)據(jù)流來看，從設備到傳輸網(wǎng)絡、控制端以及云端，整個過程較以往更為復雜。所以，端到端的保護也必不可少，比如整個傳輸過程的加密、用戶端的增強型認證（生物特征識別、多因子認證等）、云端更強的權(quán)限控制和隔離等等。

就可穿戴設備的信息安全問題，21世紀經(jīng)濟報道記者專訪了國內(nèi)頂級安全團隊――世界頂級黑客大賽Pwn2Own上連獲三屆冠軍的keen team成員，高級安全員何淇丹。

《21世紀》：有廠商反映，自己掌握的一些數(shù)據(jù)被相關(guān)公司，如保險、醫(yī)療單位等盯上，如今可穿戴設備產(chǎn)生的數(shù)據(jù)是否已經(jīng)進入黑產(chǎn)的關(guān)注領(lǐng)域？此類數(shù)據(jù)如果發(fā)生泄露會出現(xiàn)怎樣的影響？

何淇丹：是的。至少從以往來看，黑客受利益或競爭對手驅(qū)動入侵醫(yī)院、藥物機構(gòu)竊取數(shù)據(jù)的案例并不罕見，可穿戴設備作為新出現(xiàn)的熱門領(lǐng)域自然也早已受到黑產(chǎn)關(guān)注。由于可穿戴設備的天然屬性，其與用戶個人信息具有更強的綁定程度，一旦泄露對用戶隱私會造成毀滅性打擊，甚至威脅到用戶的人身健康和安全。

《21世紀》：是否發(fā)生過可穿戴設備廠商或相關(guān)生產(chǎn)企業(yè)信息泄露的案例？該泄露是由什么原因造成？該事件是如何解決的？

何淇丹：發(fā)生過。國內(nèi)有可穿戴設備廠商在去年被報告存在越權(quán)漏洞，導致攻擊者可以通過接口枚舉其他手環(huán)持有者的云端信息。后經(jīng)過與報告者溝通，修復了該云端接口的鑒權(quán)問題。

此外，2014年國外研究者曾攜帶藍牙嗅探設備前往某馬拉松比賽現(xiàn)場，在起跑線和終點線共記錄到了563個不同設備的信息，其中，大部分都沒有對信息做加密，導致研究人員可以輕易獲取設備對外傳輸?shù)慕】敌畔ⅲ⑼ㄟ^MAC地址和廣播的設備名定位到具體的設備和佩戴者。該攻擊演示了可穿戴數(shù)據(jù)未加密所帶來的隱私風險。

《21世紀》：可穿戴設備的平臺中，如Apple Watch中含有大量第三方應用，這些應用是否會同樣獲得用戶在手表應用時產(chǎn)生的隱私數(shù)據(jù)？這些應用是否增加Apple Watch等設備被攻破的可能性？為什么？

何淇丹：Apple對Apple watch的設計在架構(gòu)上力圖避免這個問題，第三方應用在watch上并不以獨立的形式存在，而是以iPhone應用的附屬形式存在。Watchkit App在訪問數(shù)據(jù)時需要獲得用戶權(quán)限許可，包括健康、位置請求在內(nèi)。但是由于Apple watch提供了單獨聯(lián)網(wǎng)和藍牙通訊的功能，這些是自然的攻擊面。雖然蘋果在架構(gòu)上力圖避免，但并不能保證這種隔離是萬無一失的。所以這個答案是有可能的。

《21世紀》：一般可穿戴設備都要與手機設備連接使用，這是否為攻擊者增加了一個突破口？是否會降低手機的安全性？手機廠商應如何保證可穿戴設備接入的安全性？

何淇丹：理論上是可能的。因為可穿戴設備與手機間通過藍牙通訊，如果手機對設備端考慮不嚴密，是有可能導致問題的出現(xiàn)。廠商在設計時應遵循最小攻擊面、最大防范的原則，對設備和數(shù)據(jù)訪問做好隔離。

《21世紀》：在可穿戴設備的信息保護上，對硬件廠商有什么要求呢？

何淇丹：廠商應對數(shù)據(jù)嚴格進行符合工業(yè)標準的高強度加密，例如密鑰長度達到至少256位的AES加密。根據(jù)數(shù)據(jù)使用場景的不同，有更詳細的要求：在征得用戶允許后進行大數(shù)據(jù)挖掘時，應嚴格遵循匿名原則。對數(shù)據(jù)進行模糊化處理，應去除具有識別度的用戶信息，防止泄露用戶個人隱私。在單純作為云端數(shù)據(jù)管理工具時，應使用用戶生成或指定的密鑰對數(shù)據(jù)進行不對稱加密，密鑰可存儲于用戶自身設備上，達到對用戶透明而對廠商不透明。

廠商在設備與云端和終端通訊過程中應嚴格使用加密傳輸技術(shù)，并嚴格校驗對端身份。例如，傳輸過程中使用的RSA公鑰應至少有1024-2048位長。

同時廠商應加強對IT設備、相關(guān)服務器和員工辦公設備的安全加固、日志審計和入侵檢測工作，防止遭到APT形式的入侵。

《21世紀》：國際上是否有一些經(jīng)驗可以參考？若發(fā)生此類泄露事件，又是如何懲處的？

何淇丹：蘋果在這方面是一個典范，其公開的相關(guān)信息可供相關(guān)企業(yè)參考?？纱┐髟O備收集的數(shù)據(jù)在美國屬于Personally identifiable information （PII），為聯(lián)邦法律所明確要求持有機構(gòu)須加以保護并具有保密義務。企業(yè)對于報告漏洞的安全研究者也應持有歡迎和合作的態(tài)度，與安全社區(qū)共建安全。

監(jiān)督機關(guān)應對相關(guān)企業(yè)實施數(shù)據(jù)保護的監(jiān)督，并對違反守則、泄露數(shù)據(jù)的企業(yè)予以行政處罰，嚴重者追究相關(guān)責任人的刑事責任。