跟踪设备和手机之间的持续同步需要稳定的蓝牙连接。这对手机电池的使用时长影响很大。然而,追踪器可以在不进行同步的情况下,在任何地点都可持续存储2-30天(取决于设备和所记录的数据量)数据。为确保最佳的用户体验,多数供应商建议一直开启蓝牙。
智能手环目前正处于过渡状态。该产品的流行正在促使更高级的产品进入市场,并且对不同款式需求在不断增长。目前我们所知道的智能手环的类型即基础智能手环;未来的智能手环将增加处理功能,而不仅仅是收集数据。一些公司已经有将智能手环与运动传感器,心跳监视器相结合的方案。
一般来说,需要在同一个系统内进行数据传输的设备越多,该传输链就越容易受到攻击。多数智能手环环境使用上述方案。其它类型的健身追踪器关掉只能手环,其将数据记录在智能手机本身或不提供云服务。对于这类型的智能手环,不适用于某些攻击向量。
智能手环需要全天佩戴;然而,其用户可能会时不时地取掉手环。因此,就会出现手环在某段时间内无人监管,任何有兼容设备及相应的应用程序(通常是免费的)的人员,这时,理论上都能做到与该设备同步并获取其记录的数据。当该设备处于行窃范围时,数据可能被传送至盗贼的智能手机。
好消息是,每个我们检测的智能手环都有针对这类风险进行综合保护的功能。其应用程序会与手机解绑,并通知用户该智能手环以断开连接。对于窃贼来说他们只能得到当前收集的信息,或是上次同步时的信息。然而,由于目前只对一小部分智能手环进行了测试,所以,这类攻击向量仍会应用于其他设备。
坏消息是,正如我的同事RomanUnuchek在他的博客“How I hacked my smart bracelet”(《我如何“黑”了自己的智能手环》)中指出的,该保护机制易受此类攻击的影响。此类攻击能够攻击认证进程,读取追踪器记录的数据并执行其中的代码。根据Roman Unuchek的研究,窃贼甚至可以在用户毫不知情的情况下劫持目标设备。
智能手机应用程序和云服务器之间的同步是一个交叉点,数据流不仅包括收集的数据还包括访问用户帐户的认证。智能手环是在几年前打入市场的,一些好奇的安全研究人员浏览流量;一场轩然大波紧随其后,很多供应商在此进程中失去了加密性,这意味着所有的数据都以明文传输,数据可以被任何人读取。
智能手机应用程序和云服务器之间的同步是一个交叉点。
幸运的是,本文测试的所有智能手环供应商都做了充分准备,他们都对自己的应用程序(TLS/SSL)进行了加密。这样,想通过无线网络盗用流量就没那么容易了。
攻击手机
随着新的样本数量向上扬函数一样不断增加,移动恶意软件一直是近几年的热门话题。2004-2013年间,卡巴斯基实验室分析了近200,000个移动恶意软件代码样本。仅2014年就增加了295,539个样本。然而,远不止这些。这些代码样本会被重新使用且重新打包:2014年,我们发现4,643,582个移动恶意软件安装包(其数量在2004-2013年发现的10,000,000个安装包之上)。移动恶意软件的月攻击量从2013年8月的每月69,000起增加到2014年3月的每月644,000起(是之前的10倍)。
所有本文测试的智能手环供应商都对其应用程序(TLS/SSL)进行了加密。
典型的网络犯罪分子的作案手法即利用合法的应用程序或应用程序名作为他们传播恶意软件的载体(主要是对第三方应用程序的网站)。一个移动恶意软件通常仅打包在一个安装包内,但有时候,为了增加成功率,犯罪分子甚至会把几百个恶意软件打包在一个安装包内,继而发送给不同的用户群。适用于智能手环的恶意的伪造应用程序会请求用户的登录凭证,进而劫持该帐户及该帐户上的所有信息都是完全可行的。与其他来自该被攻击手机的数据(如来自社交网络应用程序的入住登记GPS坐标)结合来进行进一步网络犯罪。
然而,智能手机的日常使用形成了更高的风险。这些设备很容易丢失。例如,据伦敦地铁系统报道,2013年超过15,000部手机在地铁丢失。[1]。如果没有开启锁屏,任何一个拿到该手机的人都能看到手机内所有的信息,这也包括存储在健身追踪器的信息。本文测试的所有智能手环应用程序都没有单独锁定其应用程序的功能。
攻击云服务器
攻击者除了针对单个设备和用户外,还针对云服务器本身,并试图访问其中所有用户的记录。
正如某个领先的智能手环供应商的用户门户在2011年表明的,有时根本不需要复杂的黑客技能。所有的用户资料都由某知名搜索引擎编入索引,使对仅在这些用户资料中发现的特有表达在互联网的搜索变得更简单。这时,用户可以选择将他们的资料设置为“私人”,但这些资料都默认设置为“公开”。此外,用户可以手动输入来描述他们的活动和一定的时限,如查找怎样对减肥最有帮助。这意味着,即使是最私人的“活动”,包括时长及所消耗热量的信息对每个人都是公开可见的[2]。随后,供应商针对该问题采取了措施。这种情况,充分体现了错误配置和/或松懈的隐私政策很容易导致信息和隐私泄漏。
追踪器的用户可以选择将自己的资料设置为“隐私”,但这些资料都被默认设置为“公开”。
和传统的用户名+密码的模式一样,某智能手环供应商的API(应用程序编程接口)允许用户通过用户ID和智能手环序列号访问自己的数据。然而,如果第三方拥有所需的信息,便可在用户毫不知情的情况下下载数据。
2014年,我们发现了众多的针对网络服务器的A类漏洞,如Shellshock或Heartbleed。这些攻击以更改IP地址脚本的方式对全世界展开攻击。该攻击所收集的数据量及其可能带来的影响尚不明确。云服务也未能幸免于此攻击,并被当做有利可图的目标。发现下一个大型漏洞只是时间问题。
其他潜在的陷阱
根据美国麻省理工学院的研究,某智能手环因为其他蓝牙设备(如计算机、手机和其他智能手环等)扫描用户环境而臭名昭著。该智能手环还收集这些设备的地址信息,并通过其手机应用程序将收集到的信息传送至该供应商的服务器。这样,该供应商便可创建每个用户的基础设施环境概况。
此外,该智能手环自身使用的BTLE(蓝牙低功耗)使其能够不时改变设备地址来规避追踪佩戴者。然而,该供应商并没有使用这一功能。
伪造的智能手环应用程序,请求登录用户凭证是可行的。
某个被检测的智能手环应用程序为了深入分析用户的健康和活动,邀请用户安装来自第三方的附加应用程序来整合并关联收集到的数据。可能的扩展包括在训练过程中使用GPS记录关联标准数据,使用专用的应用程序作进一步的可视化,应用程序提供附加的体重控制模式,应用程序鼓励用户要健康饮食(如多吃水果),如果用户完成了所有目标,甚至还提供奖金奖励(由未完成目标的用户支付)。
如果被整合,用户变自动同意与供应商分享这些数据。
最后一种是这几十年来的经典陷阱。为了图省事,人们往往选择一号通用。多数人有一个主要的电子邮件地址,该地址同样也是他在其他网站和服务的用户名。现在,如果这些帐户中的一个由于服务器端的攻击而被攻击(每周都会发生),或是由于恶意软件感染窃取某个机器的登录凭证,这意味着使用相同的密码的其他帐户处于大规模危险中。众所周知网络罪犯会用窃取到的帐户名和密码尝试着在各大门户网站进行登录,如网店,在线支付系统,社交网络和其他任何可能窃取现金的数字平台。
智能手环、健身追踪器和其他配件的商业模式
由数百万用户的智能手环和其他可穿戴设备收集的个人信息的洪流,激发了其他人员及网络罪犯对其的关注。
这类信息对不同行业的企业和机构具有很高的价值。
保险公司
保险公司根据风险评估进行运作。为了有效地做到这一点,必须收集并评估数据以计算收取客户适当的保费。收集的数据越有价值,越能好好发展企业业务。这边是健身追踪器发挥作用的关键。什么样的数据能比客户的实时数据流数据更好?在编写保险项目时,一些保险公司为想要分享他们自己的健身追踪器收集的信息的客户指定特别计划。同时也会向可以证明自己的生活方式健康,有旅游的付款凭单,并参加了额外的健身课程的客户提供资金奖励作为回报。[4]
被测试的智能手环中没有一种有锁定应用程序的功能。
怎么可能出问题?该方案可能会适得其反。想象一下,一个不反对极限运动的狂热的健身爱好者。如果其追踪设备和智能手机会定期发送有关其驱车前往一个臭名昭著的危险的山地车下坡的数据,会怎么样?智能手机发送的GPS数据和汽车以每小时40公里的速度从山坡开下来时,由于轮胎碾压石头而产生的额外的“步数”,这些数据都表明该健身爱好者可能从事危险运动,并可能会让保险公司感到不快。基于该客户的高风险数据,保险公司会增加其保险费用。根据世界各地法律地位的不同,鉴于此追踪设备记录的数据,保险公司可能会拒保此类高风险客户。
除了健身跟踪器,还有其他工具和应用程序正在以实现最优量化而进行开发,像具有集成传感器的牙刷,可以通过三维蓝牙和专用智能手机应用程序的蓝牙来监测刷子的运动[5]。该应用程序包括迷你游戏来教授、激励和奖励用户,尤其是儿童。它还追踪用户多久刷一次牙,每次刷多久。保险公司(尤其是牙科保险)同样很乐意收集到此类数据。
企业
企业同样为他们的员工配备健身追踪器。已经有企业向员工提供这类设备以评估他们的健康,并激励向健康的生活方式迈进。英国石油公司(BP)提出了“员工健康计划”,员工被指定要达到某一目标,如果达到,公司会提供像健康保险费这样的奖励 [6]。想要参加此计划的员工要彻底暴露隐私,还应考虑到该项目的潜在后果。
广告业
目前市场上还没有允许用户选择禁止向云输入数据流的移动应用程序。因此,供应商可以迅速了解用户的习惯及健康状况。根据隐私策略,他们可以基于该用户的信息和活动来定制广告。即使是一般的娱乐或活动,广告也可以专注于特定的用户群,例如:初学者可以得到跑鞋和基础运动服,而针对资深运动员的广告,向他们提供更昂贵的设备,用于夜间出行的LED大灯,或者特殊的运动营养品。所有的报价都可以折合为用户的本国货币,并根据应用程序内设置的体重和身高,针对不同的性别提供合适尺寸的装备。
其他各方
北加利福尼亚发生地震后,智能手环供应商Jawbone,在其博客发表了一个图表,该图表显示了此次地震对震中附件不同区域的人们睡眠的影响[7]。所有的数据来源于成千上万的客户,汇总并以匿名形式显示于该图表。该数据使Jawbone有了显示地震对人类影响的新形式,而不是像以往显示震中附近区域地震仪震动频率。世界各地许多新闻网站都刊登了此图表。
收集的数百万用户的个人资料激起了网络罪犯的欲望。
2014年标志着智能手环记录的数据第一次在法庭中使用,对于今后的案件开辟了道路。该案件中的女子,坦率地提供了其智能手环中的数据以证明她由于车祸而受伤,只能有限的活动。她的信息与第三方其他与她年龄相仿的女性的数据进行了比较[8]。该案件中数据的使用是没有争议的,该女子坦率提供了她的数据来证明她的观点。智能手环的用户要记住,供应商通常在其用户协议和隐私政策条款做出明确表示,用户可以公开信息以回应法院的命令。用户还要了解,所收集的数据不一定只能在数据收集国使用,同样也可在司法权不同的其他国家使用。
根据耶路撒冷的希伯来大学的研究人员,通过将用户的GoPro摄像头戴在头上并抖动它,可以在几秒钟内识别用户(根据某范例)[9]。这就提出了一个问题,根据这种算法,个体智能手环用户是否可以通过其活动和睡眠模式来识别。
有没有更私密的方式来追踪用户的健身
比智能手环更私密的替代品(自己了解为目的的),包括电子计步器和健身追踪器应用程序。两者都可以作为单一的设备系统,从而切断会影响普通智能手环系统的潜在的攻击向量。
健身跟踪器应用程序通常使用一个内部陀螺仪传感器和加速度计来追踪活动。追踪器的应用程序缺乏传感器来测量人们的睡眠,也没有其他智能设备的一些功能。被称为电子计步器的专用计步器的设备,提供类似的功能集,而且对智能手机来说比较省电。有些产品可以与智能手机进行同步,有些则是完全自行运作。它们可以揣在口袋里或夹在腰带上。
对智能手环用户的建议
为了尽量减少数据被泄露的风险,提几点建议。这些建议中的多数不仅适用于智能手环用户,也适用于任何一个使用存储个人资料应用程序的用户:
只使用你需要的功能,避免发布任何一条你不想存储于云的个人信息。
每个帐户都要使用级别高且不同的密码
开启智能手机锁屏,并使用访问保护。
如果可以的话,对手机进行加密。
如果可以,对每部设备使用安全解决方案。
阅读应用程序的许可协议,并留意该设备会使用什么样的个人信息。
安装应用程序并更新操作系统
卸载/删除不再需要的应用程序
在不需要的时候关闭手机的蓝牙和定位服务(这样也可以节省电池耗电)
结论
至今,智能手环已经打入市场将近十年,因此,与其他小配件相比,他们已被大家熟知。虽然像没有加密或公开用户配置文件的一些时日已久的安全问题仍然存在,但这表明,安全仍是许多公司今后要思考的问题。安全也是一个过程;越来越多的漏洞出现在驱动程序、协议和整个服务器生态系统,供应商需要检测漏洞和漏洞风景,并迅速修复客户端(智能手机应用程序)和服务器端(云服务)的漏洞以确保客户数据。
不过安全性同时取决于制造商和用户。每个参与房必须了解健身追踪器所收集的用户数据的价值和敏感性。通常,当发生了有关个人数据的攻击,用户的姓名、电子邮件地址、生日、信用卡信息或密码等数据都会受到影响。在这种情况下,受到攻击的信息更个人。它包含了健康和身体相关的数据,包括用户通常只向亲近的人吐露的细节,或者甚至是只会告诉医生的隐私。
智能手环供应商掌握着对第三方和用户都有很高价值的大量信息。但是,如果供应商决定向任意一方泄露这些信息(冒着失去用户信任的风险),第三方需要谨慎对待这些数。毕竟,万一用户将智能手环待在自己的宠物狗身上以获得数据,并想用这些数据来获取保险公司的优惠怎么办?
虽然智能手环是相对较早的技术,但他们仍然是促进我们利用的量化自己设备发展的一片沃土。与早期技术整合,并结合创新技术,新型设备正在不断涌现。像智能手表和谷歌Glass即这一领域的未来发展趋势。
发表于 2015-12-4 17:04
