惠普公司企業(yè)安全產(chǎn)品大中華區(qū)總經(jīng)理李正為表示:“智能手表才剛剛開(kāi)始進(jìn)入我們的生活,但它們提供了全新的功能,可能會(huì)給敏感信息和活動(dòng)帶來(lái)新的威脅。隨著智能手表加速普及,惡意攻擊者對(duì)智能手機(jī)平臺(tái)的興趣也越來(lái)越大。在傳輸個(gè)人敏感數(shù)據(jù)或把智能手機(jī)帶入工作場(chǎng)所時(shí),我們必須要小心謹(jǐn)慎。”

惠普的這項(xiàng)研究對(duì)智能手表是否能夠如設(shè)計(jì)的那樣存儲(chǔ)和保護(hù)敏感數(shù)據(jù)和任務(wù)進(jìn)行了深入探討?;萜沼肏P Fortify on Demand評(píng)估了10款智能手表以及它們的安卓和iOS云和移動(dòng)應(yīng)用組件,發(fā)現(xiàn)了許多安全隱患。

這項(xiàng)研究發(fā)現(xiàn)的最常見(jiàn)且很容易解決的安全問(wèn)題包括:

•不充足的用戶(hù)身份驗(yàn)證/授權(quán):每個(gè)被測(cè)智能手表均采用移動(dòng)界面,缺乏二元身份驗(yàn)證以及在3-5次密碼嘗試失敗后鎖定賬號(hào)的能力。30%的被測(cè)智能手表很容易被盜號(hào)(密碼保護(hù)政策太弱、缺乏賬號(hào)鎖定和用戶(hù)枚舉),這意味著攻擊者可以獲得訪問(wèn)設(shè)備和數(shù)據(jù)的權(quán)限。

       •缺乏傳輸加密:鑒于個(gè)人信息被傳輸?shù)皆浦械亩鄠€(gè)地點(diǎn),傳輸加密至關(guān)重要。雖然所有被測(cè)產(chǎn)品均采用了SSL/TLS傳輸加密,但40%的云連接很容易受到POODLE攻擊,允許使用弱密碼或仍舊使用SSL v2。

       •不安全的界面:30%的被測(cè)智能手表采用了基于云的Web界面,所有這些界面都存在賬號(hào)枚舉問(wèn)題。在一項(xiàng)單獨(dú)的測(cè)試中,30%也存在移動(dòng)應(yīng)用的賬號(hào)枚舉問(wèn)題。這個(gè)漏洞讓黑客可以通過(guò)從重置密碼機(jī)制收到的反饋而發(fā)現(xiàn)有效的用戶(hù)賬號(hào)。

       •不安全的軟件/固件:70%的智能手表存在固件更新保護(hù)問(wèn)題,包括不加密地傳輸固件更新并且也不加密更新文件。然而,很多更新旨在幫助防止安裝被感染的固件。雖然惡意更新不能被安裝,但缺乏加密會(huì)允許文件被下載和分析。

       •隱私保護(hù)問(wèn)題:所有智能手機(jī)都收集了某些形式的個(gè)人信息,例如姓名、地址、生日、體重、性別、心率和其它健康信息。鑒于某些產(chǎn)品存在賬號(hào)枚舉和使用弱密碼(容易被破譯的密碼) 的問(wèn)題,這些個(gè)人信息就存在泄漏的風(fēng)險(xiǎn)。

盡管一方面制造商努力在智能手表中融入必要的安全措施,但另一方面,對(duì)于消費(fèi)者而言,在選擇使用智能手表時(shí)需要考慮安全問(wèn)題。除非具有強(qiáng)大的授權(quán)功能,否則建議用戶(hù)不要啟用敏感的訪問(wèn)控制功能,例如打開(kāi)車(chē)門(mén)或家門(mén)。此外,啟用密碼功能、確保使用強(qiáng)密碼和二元身份驗(yàn)證將有助于防止未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)。這些安全措施對(duì)于保護(hù)個(gè)人數(shù)據(jù)很重要,在智能手機(jī)進(jìn)入工作場(chǎng)所并接入公司網(wǎng)絡(luò)時(shí)則更加關(guān)鍵。完整版的報(bào)告中還提供了有關(guān)安全地使用智能手表的其它指南。

欲了解更多信息,請(qǐng)?jiān)L問(wèn)這個(gè)物聯(lián)網(wǎng)系列中的第一份報(bào)告《2014年惠普物聯(lián)網(wǎng)調(diào)查》,其中調(diào)查了10個(gè)最常見(jiàn)物聯(lián)網(wǎng)設(shè)備的安全狀況。此外,《2015年惠普家庭安全系統(tǒng)報(bào)告》調(diào)查了10大最常見(jiàn)的聯(lián)網(wǎng)家用安全系統(tǒng)。

HP Fortify利用HP Fortify on Demand測(cè)試方法進(jìn)行了惠普智能手表安全調(diào)查,結(jié)合使用了手動(dòng)測(cè)試以及自動(dòng)化工具。設(shè)備及其組件根據(jù)OWASP物聯(lián)網(wǎng)十大安全風(fēng)險(xiǎn)以及與10大類(lèi)別相關(guān)的具體漏洞進(jìn)行了評(píng)估。

本調(diào)查中的所有數(shù)據(jù)和百分比均來(lái)自被測(cè)的10款智能手表。雖然市面上存在相當(dāng)多的智能手表設(shè)備并且還在繼續(xù)增加,惠普認(rèn)為這10款智能手表存在的相似情況很好地體現(xiàn)了智能手表設(shè)備目前整體的安全狀況。

分享到

xiesc

相關(guān)推薦