無論是使用自行購買的可穿戴設備，還是在企業(yè)環(huán)境下進行IT事務管理，追蹤裝置與智能手表等產(chǎn)品正變得愈發(fā)談及——但這也意味著可穿戴式設備很可能成為網(wǎng)絡犯罪分子們的下一類重要攻擊目標。

如果大家剛剛在購物季當中為自己買到了心儀的可穿戴式設備，恭喜!您已經(jīng)迎來了新的、可追蹤的、充斥著大量數(shù)據(jù)的生活紀元!

[[162552]]

當然，您同時也把新的攻擊目標請回了家中。

“每一項數(shù)字化技術在逐步迎來更加廣泛的使用范疇之后，也會成功吸引到黑客與犯罪分子們的覬覦目光，”ESET公司的Stephen Cobb表示。“因此，如果可穿戴式設備真的全面走向普及，那么犯罪分子自然也會將其作為下一種攻擊目標，并試圖借此為自己牟取利益。”

作為ESET公司的資深安全研究人員，Cobb指出他還沒有真正經(jīng)歷過指向可穿戴式設備的攻擊活動，但這并不是說我們還可以繼續(xù)高枕無憂地面對未來。

他在最近針對偉易達(一家專門生產(chǎn)兒童可穿戴設備的廠商)的報告當中指出，該公司的客戶數(shù)據(jù)庫已經(jīng)遭到入侵——而其中包含有來自約500萬家長及20萬名兒童用戶的個人信息。

“偉易達公司的部分玩具產(chǎn)品能夠拍照并將部分照片共享至其后端系統(tǒng)當中，”Cobb解釋稱。“考慮到其屬于可穿戴式設備，照片當中很可能包含位置信息甚至是與兒童個人健康狀況相關的信息。”

不過也有一些好消息值得關注：消費者們已經(jīng)開始懷疑其可穿戴式設備的安全保護能力。根據(jù)Auth0方面發(fā)起的一項研究顯示，有52%的受訪消費者認為物聯(lián)網(wǎng)設備不具備與之功能相適應的安全保護能力。由此看來，有意購買可穿戴式設備的消費者們已經(jīng)開始對相關產(chǎn)品的安全水平保持警惕。

然而，根據(jù)偉易達安全事故之影響加上Cobb的預測，整個體系當中最為薄弱的環(huán)節(jié)并不在于設備本身。事實上，負責對所收集信息進行存儲的數(shù)據(jù)庫才是最值得擔憂的組成部分。

“如果有人打算針對可穿戴式設備廠商從消費者處收集到的數(shù)據(jù)下手，特別是那些一直覬覦客戶姓名、住址、個人身份信息乃至其它敏感數(shù)據(jù)的犯罪分子，”他表示，那么他們很可能有機會席卷這些重要資訊。另外，如果他們擁有實時上傳來的位置信息，那么就能夠了解到哪些客戶目前并不在家，并據(jù)此組織入室盜竊等行動——Facebook公司在發(fā)展早期就遇到過這類情況，犯罪分子會根據(jù)受害者張貼的度假照片猜測其目前并不在家。

而另一種可能性在于，Cobb指出，考慮到其可能面對的來自聯(lián)邦貿(mào)易委員會的嚴厲制裁，各可穿戴式設備廠商必須在未來對其數(shù)據(jù)庫進行悉心保護。

他同時強調(diào)稱，消費者應當認真檢查相關可穿戴設備的制造廠商以及使用此類數(shù)據(jù)的第三方應用產(chǎn)品的隱私政策聲明，從而了解各方會如何利用我們的隱私信息。如果某款應用壓根沒有提到所謂隱私保護策略，那么請馬上停止使用。

可穿戴式設備在工作環(huán)境下的安全性令人擔憂

如果大家是一家企業(yè)的CIO且需要處理大量敏感信息——無論是健康信息、企業(yè)交易機密、財務數(shù)據(jù)抑或是委托人權限等等——那么在將可穿戴設備引入工作環(huán)境之前必須考慮其合法性。

“我會對谷歌眼鏡以及智能手表內(nèi)置攝像頭等等能夠記錄音頻與視頻的裝置表示擔憂，”?？怂沽_斯柴爾德律師事務所首席隱私官兼合伙人Mark McCreary指出。“在數(shù)據(jù)保護工作當中，這是我們需要加以優(yōu)先關注的重點所在。”

即使員工本人只是出于無心而記錄下某些重要信息(例如在工作過程中錄制了一段與工作毫不相關的搞笑視頻)，這些視頻或者音頻同樣有可能包含敏感數(shù)據(jù)并被上傳到云等不同位置——這些位置的安全性往往無法與企業(yè)的內(nèi)部系統(tǒng)相提并論。

“這些信息可能存在多份副本，而且我們對這些數(shù)據(jù)完全不具備控制權，”McCreary表示。他將此比喻為員工在家中使用Dropbox。將信息保存在Dropbox當中已經(jīng)受到明令禁止，而同樣的情況也應當被引入對可穿戴設備的管理工作當中。

另外，某些未經(jīng)許可的人也可能借其它能夠查看企業(yè)所記錄的數(shù)據(jù)或者辦公信息的第三方處竊取資訊(請記住，Target公司之所以受到黑客攻擊，恰恰是是由于一家溫控與空調(diào)廠商的緣故)。這種狀況往往不太明顯，特別是在通過可穿戴式設備實現(xiàn)的情況之下——例如進入我們內(nèi)部環(huán)境的第三方人員通過手機拍攝視頻或者錄制音頻。

在這類情況下，McCreary表示，特別是考慮到企業(yè)可能需要處理大量敏感信息，我們可能應當禁用工作場合下可穿戴設備的記錄功能或者根本不允許相關人員攜帶此類裝置進入存在敏感信息的位置。

人力資源眼中的可穿戴式設備

某些企業(yè)正在著手為員工發(fā)放Fitbit等追蹤設備，并將其作為個人健康計劃的組成部分。雖然這一決定的背后動機可能是好的，XphertHR網(wǎng)站的一位法務編輯表示，但這可能意味著人力資源與法務部門有機會借此獲取并查看個人數(shù)據(jù)。

“目前關于隱私侵犯的問題可謂多種多樣，”她解釋稱，特別是在雇主對個人健康信息加以監(jiān)控的條件之下。舉例來說，除了Zip型號之外，所有Fitbit設備都能夠記錄員工的日常行為乃至睡眠模式，而員工當然不希望這些隱私數(shù)據(jù)被企業(yè)所掌握。

另外，由企業(yè)發(fā)放的可穿戴式設備還會引發(fā)個人時間與隱私時間等定義難題。“使用可穿戴式設備的員工們有可能無法確切分割工作時間與非工作時間之間的界線，”她指出。“而雇主則可能需要為此支付加班費。”

她同時補充稱，如果一臺設備能夠記錄視頻或者音頻，那么雇主需要確保這些設備不會訪問到有違法律要求的信息，例如那些企業(yè)無權參與的工會活動，否則有可能造成與國家勞動關系法間的沖突。

根據(jù)Zoller的說法，在工作環(huán)境下處理可穿戴式設備的最佳 方式就是“建立一項管理政策，明確限定雇主在其中的定位、員工該如何使用這些可穿戴式設備，同時培訓雇主、管理者以及員工”了解可穿戴式設備在工作當中能夠與不能實現(xiàn)哪些用途。而且相關可穿戴設備使用指南應當發(fā)布在企業(yè)的官方網(wǎng)站當中。

毫無疑問，可穿戴式設備將建立起一個規(guī)?？捎^的新行業(yè)，但其仍處于起步階段而且需要經(jīng)受黑客世界的嚴酷洗禮——盡管我們尚不知相關攻擊會在何時、何地、如何出現(xiàn)。“每一波技術浪潮都會帶來新的、可資利用的安全薄弱環(huán)節(jié)與漏洞，”Cobb表示。“而作為一大新興產(chǎn)物，可穿戴式設備也需要成為我們密切加以關注的新型威脅領域。”

原文標題：How secure are wearables, anyway?

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】