10 文章
安全研究人员Dennis Giese和Daniel Wegemer近日成功劫持了小米推出的Mi扫地机器人,但在他们的研究中显示,该设备相比其他大多数智能设备要安全得多。
IFA 2015 —消费电子展览会的最新动态—无一例外有关技术完整性的创新。各大开发商不再单纯追求在硬件上取得优势;转而研究如何将日常生活和技术”连接”起来。 比如,卡巴斯基实验室就在大会上展示了植入体内的芯片技术。尽管如今我们外出不是将电子设备放在口袋内就是绑在手腕上,但过不了几年,皮下植入芯片定将成为主流。 “万物互联”即将取代”物联网”(尽管这一技术也刚推出不久)。全球范围所有”生命个体”都将和冰箱或熨斗一样拥有平等的联网权利。 这听起来有些让人毛骨悚然,尤其对于《黑客帝国》三部曲的影迷或熟悉’反乌托邦’文学作品的读者们更是如此。其原因不外乎一个:现有的安全解决方案不够安全。新型软件通常存在众多漏洞,黑客可以出于多种目的进行漏洞利用,比如:身份盗用。 Rainer Bock —卡巴斯基实验室出现的第三个’仿生人‘ 目前存储在芯片内的数据通过4位数PIN码保护,这意味着很容易遭到黑客入侵。植入芯片的性能也相当一般(比如:你只能存储880字节大小的数据),因此进一步加大了安全保护的难度。 当然,特定覆盖半径是最好的安全保护–大约只有5 cm的有效半径。黑客必须靠你非常近才有可能盗取数据。但这只是暂时的限制:当体内植入芯片广泛普及后,犯罪分子只需搭乘一次地铁就能轻松盗取数量众多的个人ID。 与此同时,智能手机制造商采用指纹传感器技术:这一创意显然激发了市场竞争者的无限想象力,现在甚至一些二流手机(比如中国的中兴手机)都装备了生物传感器。 使用传感器的新方法也悄然兴起。早先传感器的功能并非是作为无密码认证的替代方法。在你数次尝试解锁手机屏幕,无论如何你都必须输入密码—这种情况早已见怪不怪,原因在于第一代传感器技术存在许多缺陷。 因此第一代传感器基本都是摆设,除了存在疑问的额外保护能力外几乎一无是处。苹果更是加剧了混乱局面:公司推出了附带可用传感器的Apple Pay系统(还未完全普及),即为新支付系统启用的认证方式。 现在手机制造商们已开始”比赛”发明如何将指纹图像传感器运用于各种功能。华为在其Mate S手机的触控面板中将这一技术运用于图片滚动和电话接听功能。索尼则将全新超声波传感器Qualcomm SenseID(我们在关于世界移动通信大会的博文中曾介绍过)用作指纹认证工具,该传感器同样也支持Fido服务。 这里说的Fido不是FidoNet,而是FIDO联盟—旨在开发无密码验证的完整网络的一群公司。这一标准可用于支付、网站验证以及所有需要用到数字身份的领域。 FIDO使用无密码UAF协议(通用性验证框架),且工作机制相当简单。在登录时,系统需要连接,你需要用一个代替密码的小工具进行验证;并且还可以通过指纹、面部特征或语音识别启用生物特征身份认证。此外,你还可以将各种因素组合加以混合以提高安全保护能力,因为犯罪分子几乎很难猜出所有生物特征元素。 FIDO还用了双因素认证解决方案U2X,即将一个简单的4位数PIN码和硬件加密模块结合使用。你无需再与设备连接;相反,你只需借助一个密钥就能使用不同的设备,例如:用USB令牌开启或扫描NFC标签开启手机。同样,植入体内芯片也可以作为这样的标签使用。 接下来就一切照常:自动创建两个密钥:私钥和公钥。私钥本地保存在智能手机内并发送至第三方资源;公钥在认证请求时使用。这样根本无需密码! 这看起来并不像什么创新技术,但FIDO联盟制定了共同标准,受到乐所有开发商的支持。目前已有超过200家公司加入这一联盟,包括:Visa、Mastercard、PayPal、Google和微软这些大型公司—因此这一标准在未来广泛普及的可能性极高。
就在最近,爱立信和高通公司纷纷着手推销其最尖端技术- LTE-U。相比于LTE-A(在包括美国、欧洲、俄罗斯和中国的全球范围日益普及),LTE-U在各个方面是否有所改进?以及这些缩写的真正含义是什么? 首先从这些名字着手。第一个缩写LTE-A代表的意思是”LTE-Advanced”(LTE的演进)或”第四代移动网络的演进”。此类网络目前已在全球范围普及使用。至于LTE-U,绝不是像有些人所想象的,代表”LTE-Ultimate”(终极LTE)或”LTE-Unbeatable”(无与伦比的LTE)的意思。”U”在这里的意思是”免许可”。因此,该移动网络技术需要使用到所谓的”免许可”频段。 那”免许可”在这里到底是什么意思?答案很简单:包括运用于移动运营商或无线电台的大多数无线电频率都必须通过许可方能使用。这些频率由政府相关部门控制,且只有获得签发许可的单位才被允许在这个频率发送数据。 对于小容量的民用信号传送机而言,则可使用免许可频段:任何人都可以使用这些频段发送无线电信号。这完全解释的通:想象下你给孩子买的每个遥控玩具都必须获得无线电频段使用许可! ‘免费’无线电频段运行的首要要求是:将最大传输功率限制在某个特定值以下,这样可避免对他人设备的工作产生干扰。 举个例子,遥控玩具只能用27 MHz频段,同时遥控玩具、无线电话和Wi-Fi路由器分别只能用433 MHz、2.4 GHz和5 GHz频段。当然具体数值在不同国家也不尽相同,这可能会产生某些兼容性问题。 免许可频段LTE概念的基础是使用”免费”频段部署LTE网络。当然,我们说的是低功率基站,比如:仅运用于室内的femtocell(毫微微蜂窝)和picocell(微微蜂窝)。他们能够”集合”更多免费频率,这意味着将多个并行传输通道整合到一起,从而实现更快的数据传输速率。 你的脑海可能会立即闪现出一个念头:那我们为什么还要Wi-Fi呢?Wi-Fi并没有那么容易被抛弃;恰恰相反,Wi-Fi技术将依然起到其应有的作用,即作为小型本地无线网络的基站。 最初,该项技术仅被用来创建宽带接入网络,因为根本就没有其它选择。毕竟,Wi-Fi本身缺少对于稳定的宽带接入网络起到关键作用的几项特性:一旦链接数量增加的时候,缺少用来管理网络效率的最尖端功能;无法启用安全认证或类似载波聚合的功能,而这正是将多个频段整合入单个信号传输通道的过程。 LTE在设计之初就将所有这些功能考虑在内。由于免许可频段由许多处在不同频段的零星频率组成,因此完全有能力将它们全部集合从而实现更高的带宽网络。 尽管5G网络离我们已愈来愈近,但PC电脑、电视和其它家用电器依然可以选择连接Wi-Fi网络。而作为流量消耗’大户’的智能手机和平板电脑则可使用LTE-U网络。此外,为了将这些联网设备整合入家庭网络中,链路聚合技术得以设计而成。该技术将LTE和Wi-Fi频率整合到一起,从而形成了一个累积频率”池”,不仅能用于联网设备还可支持无线技术。 该方法将有助于平衡不同网络之间的流量,或利用两种网络在顷刻间提高数据速率。此外,还能在不中断现有会话的情况下实现无缝网络交换。换句话说,这看起来就像你家庭网络内的免费漫游。 LTE-U的部署方式与现有的3G femtocell极为相似:用户需要购买特定的femtocell并通过移动运营商注册。 从网络服务提供商的角度看,部署加密VPN(虚拟私人网络)通道的同时,还需创建通过单根线缆工作的两个独立逻辑连接通道。 还有一点要注意,LTE-U无法提高你家庭网络提供商的互联网连接速度。与此同时,移动设备也将比以往更频繁地使用无线连接。 然而,这个想法并非完美:部署LTE-U的前提是需要网络服务提供商参与其中,但问题是提供商并不一定会对此类合作持积极态度。而许多网络服务提供商则采用另一种方法来解决同一难题,例如:将室内连接流量分流,也被称为”Wi-Fi分流”。 换句话说,网络服务提供商已部署了承载巨大的Wi-Fi网络,启用了无缝分流和基于授权的SIM卡,并开启了无线网路语音(Wi-Fi呼叫)等。他们投入了巨额资金用于基础设施建设,因此必须尽快收回成本。但等到这些投资成本完全收回的时候,5G网络可能早已遍布全球了。 另一方面,这些网络运营商依然必须解决网络流量急速增长的问题,目前处在一个两难的境地:要么投入资金部署Wi-Fi分流或自行研发LTE-U,要么就必须接受承载力不足的事实。同时新兴技术的前景目前依然还未明朗。我们将持续关注,共同拭目以待。
几个星期前,有人在Reddit网站发帖,帖子内容引述了三星智能电视服务条款:”请注意,如果你所说的话中包含了个人隐私或其他敏感信息,那些信息将被捕捉并通过您使用语音识别功能传输给第三方。” 在随后的几天,不管是旧媒体还是新媒体甚至是雪城大学的官方博客均陆续发表了关于智能电视窃听用户隐私的看法。不幸的是,在专业人士针对智能电视操作系统编写隐私扩展或类似”请勿追踪”和“广告拦截“的插件之前,唯一能阻止此类追踪的方法就是禁用语音识别功能。 让我来首先承认这样一个事实:我其实不管对三星过去的Google电视、现在的三星智能电视还是未来的Tizen 操作系统都不太熟悉,因此我无法确认反追踪或其它类似浏览器的插件是否能真的能起到作用。 然而在我从智能电视厂商的应用开发和审批程序所了解到的是,并没有阻止任何人编写隐私附加元件的明确政策,也不存在针对包括三星在内的所有智能电视系统的强大隐私插件。 如果你认为三星是唯一一家制定此类服务条款合同的智能电视厂商的话,我只能非常遗憾地告诉你:远不止三星一家 更为不幸的是,如果你认为三星是唯一一家制定此类服务条款合同的智能电视厂商的话,我只能非常遗憾地告诉你:远不止三星一家 苹果全部产品系列均保留以下权利:”使用[客户]个人信息以用于例如:审查、数据分析以及研究的内部目的,旨在改进苹果产品、服务和客户沟通”。同样,苹果也允许与其所有”附属公司”共享这些信息。 值得赞赏的是,苹果保证Siri不会保存用户iPhone手机外的位置信息。然而,苹果的隐私政策并没有明确表示Siri页面是否收集、保存或共享用户向Siri语言输入的信息。我们为此向苹果询问这方面的问题。但我并没有对苹果是否能作出回应抱有太大希望。 此外,Google也承认收集用户所使用服务的信息,尽管它巧妙地在弹出窗口内隐藏了详细内容,但依然有这些信息不幸被收集:数据使用和系统偏好设置、Gmail消息(顺便说下,就是消息的内容)、G+用户资料信息、照片、视频、浏览历史记录、地图搜索以及文档(即保存在你文档中的内容)等其它Google托管内容。 唯一了解某一家公司如何处理你个人数据的方式是阅读他们的隐私服务条款声明 我们只举了其中的几个案例而已,而唯一了解某一家公司如何处理你个人数据的方式就是阅读他们的隐私服务条款声明。然而,我们都知道这些声明文件篇幅过长、复杂难懂且使用了许多难以理解的法律术语。我们通常都会直接在”我已阅读并同意”选项上打钩,但真正读过内容的人几乎没有。 就算有人真的阅读了这些条款,但真正理解其中含义的也屈指可数。是否应直接勾选”阅读并同意”而不将整个内容看一遍,关于这一点长期存在争议。就目前而言,直接勾选”阅读并同意”已成为大部分用户的一种习惯,无论你内心是否真的非常渴望了解这些隐私声明和条款。 对于未来到底如何目前很难作出预测,但越多越多的联网设备将推出市场却是事实,其中许多就拥有更为强大的语音识别功能。Google、苹果、三星以及其它一些科技巨头在这一方面的技术稍领先于业内其它公司。无论你同意与否,这些公司已经意识到了隐私的问题。他们可能会将你的个人信息出售给第三方,但在这之前至少会考虑一下。 由于大多数应用厂商将语音识别功能和激活服务加入其产品的历史不超过十年的时间,且缺少更多有价值的隐私处理经验,因此我们还需要耐心等待。好吧,让我们一起拭目以待,到时候这一领域必将变得非常有趣。