不同的设备,相同的安全威胁:可穿戴设备安全问题值得关注
“可穿戴”一词最早只是用来形容易于穿戴在身上的衣着类物品。而现在,”可穿戴”一词则指的是用户可穿戴在身上的移动设备,而后者正是上周在全球范围热议的话题。 这一话题之所以引起了多方讨论,原因在于每年9月份的苹果新品发布会上通常只发布一款iPhone手机产品。而今年的新品发布会则与往年有所不同,发布会上的关注焦点变成了自Google Glass(Google眼镜)发布以来可能最令全球期待的可穿戴设备:Apple Watch(苹果智能手表)。 我的同事Alex Savitsky在对苹果全新支付平台安全性的分析中,将对这类设备抱有期待的人群分为了三类, 而在这里我想三类改为四类:第一类人,依然顽固地拒绝购买任何苹果产品,就好像自己受到了已故史蒂夫•乔布斯的不公正待遇一样;第二类人,使用自己心爱的采用retina显示屏的Macbook Pro(苹果笔记本电脑)在推特和博客上对苹果产品的缺点大肆冷嘲热讽;第三类人,有意购买苹果产品,如果看到类似”苹果产品与其它品牌产品并无二异”的文章时,会整天盯着此类文章下面的评论不放; 最后一类人,只要市面上出现拥有各种有趣用途的新产品,都会兴奋不已。 在这里我还想借用另一名同事Peter Beardmore的说法,虽然用在了不同的背景下:”高端”用户会买下所有最新流行的产品,无论是是Apple Watch、Google Glass或者只是一种新的洗碗机,而从不会考虑其安全性。购买后他会询问你的看法,并认真听取你的意见,即使你的观点是这个产品根本一无是处,他也丝毫不会后悔。 Google Glass基于安卓系统,因此毫无例外地”继承”了其它安卓设备中所发现的已知各种漏洞。 问题出现了:创新设备不仅同样要面对传统的威胁,而有时甚至更易于受到这些威胁的攻击。甚至更糟,创新设备迟早还将面临创新的威胁。从Apple Watch这样奥威尔式的名字看,也必将难逃厄运。网络犯罪分子将通过Apple Watch和其它所有可穿戴设备来窥视你在互联网上的一举一动,收集你的所有在线信息然后提供给第三方。 卡巴斯基实验室全球研究与分析团队的安全和恶意软件分析师Roberto Martinez在其刊登于Securelist上最新一篇文章中分析了Google Glass的优缺点,切中了问题的要点。 “无论是目前的设备还是新发布设备,都有着许多共同之处:使用相同的协议并用类似的应用来与其它设备进行互联。没有任何解决的办法。传统的攻击途径主要是以中间人(MiTM)、对操作系统的漏洞窥探或应用本身对网络层发起攻击。由于同样采用安卓系统,因此Google Glass也会毫无例外地”继承”了其它安卓设备中所发现的已知各种漏洞。” Martinez还介绍了一种难以置信的简单攻击方法,最初由移动安全公司Lookout发现。由于Google Glass是通过扫描由一款特定移动应用生成的二维码来实现互联网连接。只要Google Glass扫描这些二维码,就能自动联网。如此,Lookout所要做的只是创建自己的二维码,让Google Glass扫描,随后该设备就能与任一可能由恶意方控制的无线网络配对。这是一个利用现有威胁(恶意二维码)对新设备进行有效攻击的典型例子。 类似于#AppleWatch和#GoogleGlass这样的可穿戴设备将像传统电脑一样面临同样的#安全威胁 “但可穿戴设备的潜在风险来源却与电脑或移动设备不太一样,Google Glass界面是通过”卡片”进行导航,滚动不同的应用和设置,因而限制了配置选项。有时候,用户只需发出极其简单指令,Google