可穿戴設備:連接越緊密,安全風險越大
責編:admin |2014-07-03 09:03:24可穿戴設備市場迎來了大爆發:從谷歌眼鏡到iWatch,從運動類、醫療健康類到工業與軍事類產品,可穿戴設備涵蓋的范圍越來越廣、實用性越來越強。Juniper報告預測,2018年全球可穿戴設備出貨量將達到1.3億臺,這一數字將是2013年的10倍。但是,在給人們生活帶來便利的同時,這些可穿戴設備也藏有不少安全隱患,只有給其加上安全的防護盾,才能讓這一市場持續蓬勃健康發展。
2013年7月4日,美國一位名叫Chris Barrett的男子用Google眼鏡在公共場所拍攝了一群人打架后被捕的視頻,并上傳到網絡,短短幾天獲得23萬次的點擊量,而周圍的人根本不知道他在拍攝;Autographer是一款可穿戴相機,它帶有GPS功能,當用戶將這款小型設備別在衣服上時,便能記錄進入鏡頭的人或物,并自動上傳到設備制造商的網站;使用Nametag,用戶只需隨便看一眼附近的人,便能夠獲得這個人的名字、職業等信息……諸如此類可穿戴設備不勝枚舉,它們能收集個人或者他人的信息以便實現應用的特定目的。
在大數據時代,用戶個人的身份特征和消費習慣都變成可以存儲、可以處理、可以深挖及可以整合利用的各種數據。可穿戴設備是加速數字化的利器,當收集的用戶信息足夠詳細,用戶在現實生活中接近互聯網上的“裸奔”的隱患也就越大。人們希望設備能幫助更好地了解自己,就必須更多地暴露自己。哪些數據是個人的,哪些數據又是可以被機構或者公司利用的,兩者之間模糊的界限一直沒有得到清晰的界定。
為此,在技術上科技公司也采取了一些手段,獲得用戶“授權”,即讓用戶同意設備制造商獲取、使用其信息,這是科技公司的慣常做法,只是在程度和范圍上有所差別。比如谷歌眼鏡在錄制或者拍照時,必須通過語音激活,被拍攝的對象也能從屏幕上看到錄制的情況。設備丟失之后,能夠遠程刪除數據也是常見的做法。許多企業承諾,數據在用戶不自己分享的情況下很難被別人拿到,并且承諾產生的數據能夠被合法正確利用。但用戶面臨與開發商、運營商之間信息不對等,數據在上傳之后個人很難控制其后續走向,很多甚至是在用戶毫不知情的情況下進行的,“授權”在多大程度上能夠起作用,值得商榷。
出于利益最大化考慮,不少公司還將數據開放給了第三方公司,比如Fitbit。第三方的加入無疑將隱私保護的鏈條又拉長一環。谷歌在其《谷歌眼鏡開發者政策》中聲稱,禁止任何谷歌眼鏡應用“使用攝像頭或麥克風進行相互參照,并即刻呈現除用戶以外的任何人的個人信息,包括臉部識別及聲音記錄等”。然而自去年4月以來,黑客們一直在試驗谷歌眼鏡的種種未經授權用途。可見,條款的約束實施起來大打折扣。可穿戴設備行業整體還處在起步階段,技術標準尚未存在,制定隱私保護的實質性措施也會滯后。
值得思考的是,信息技術時代不斷創新的用來保護個人隱私的手段,也是以獲取更為私密的個人信息為代價的。當企業需要越來越多的信息以確認屬于本人操作,也就意味著個人所提供的信息越來越多、越來越私人化。當可穿戴設備將人、事、物與互聯網連接得越緊密,被泄露、被竊取乃至被利用的風險也就越大,個人隱私保護面臨的挑戰也越大。
安裝防護軟件,必須的
1960年,兩位數學家共同制造了煙盒大小的可穿戴計算機,這被視為最早的可穿戴設備。在洛杉磯賭場,他們首次使用它來玩輪盤賭。這個設備能夠預測滾球的落點,使得贏錢的幾率增加44%。可穿戴技術也可能被不法分子利用,由于可穿戴設備的設計普遍更貼近人體,如果為他們利用,將會更加隱蔽。在監督機制完全缺乏或者還不夠健全的情況下,數據被竊取的幾率也增大了。
對于醫療健康類的可穿戴設備而言,如果所記錄的信息被竊取、惡意使用,后果將不僅僅是收到騷擾電話,甚至可能是威脅到生命安全。美劇《國土安全》中,男主角將美國副總統心臟起搏器的序列號告訴恐怖分子,直接導致副總統的起搏器錯誤工作。現實中,23andME能通過記錄用戶的基因信息,分析出遺傳特征和健康狀況。LarkLife智能手環能通過測量身體活動,給用戶提供營養指導。如果諸如這些數據被拿來不當利用,將對用戶健康造成直接威脅。而且當收集到數據后,需要通過藍牙等手段進行傳輸,不排除在數據傳輸過程中受到攔截和傷害。一位研究人員曾在黑帽安全會議上演示攻擊者如何在半英里外通過控制胰島素泵給使用者輸送潛在致死劑量的胰島素。另一位研究人員也展示了如何利用無線協議在用戶佩戴的心臟起搏器上做手腳。
安裝防護軟件是必須的,這樣能避免因設備本身感染惡意軟件而導致數據泄露。此外,多模加密技術、多重驗證是業界常用的方法。多模加密技術由對稱加密與非對稱加密算法相結合,在不同的工作環境之下,用戶可以有針對性地選擇不同的加密模式。Nymi手鐲的驗證需要獨特的心律、手環和已注冊的智能手機上的安全應用,由于個人心電圖不容易被復制,大大增強了它的安全性。智能戒指NFCRing,常用于需要非常近的距離來保持安全性的應用,指環到設備的讀取距離是一毫米,這意味著設備必須被有效觸碰到,通過遠程控制的風險大大降低。蘋果公司正在申請一項技術專利,將個人的心電數據作為手機密碼鎖。
目前來看,對于一些爭議較大的項目,監管部門也會出面。比如2013年年底,23andME被美國食品和藥品局責令停止市場營銷,但監管部門的反應遠遠跟不上科技發展的速度。