由於萬物聯網 Internet of Everything (有時亦稱「物聯網」Internet of Things) 的風潮使然,每一家電子產品商店都開始出現全新類型的電子產品。智慧型穿戴式裝置正以您意想不到的速度蔓延開來。雖然不是每個人都會購買 Google Glass,但可以確定很多人都會購買健身記錄器,甚至是智慧型手錶。
所謂「穿戴式裝置」,就是人們日常生活上會穿戴在身上的一些設備。這些設備的作用通常是記錄身體的活動機能,或者顯示其他裝置輸出的內容,兩種用途還可以加乘,讓使用者的生活更多采多姿。
在接下來的一系列文章當中,我們將探討穿戴式裝置可能潛藏的攻擊和風險。但請記住,這只是理論上或概念上的推測,而非已經發生的事實,因此未來有可能發生、也可能不會發生,還得看未來電子產品市場將如何演變,以及歹徒是否有其他更有利可圖的目標。在這兒,我們的目的並非要嚇唬使用者,讓使用者避開這類新式產品,而是要鼓勵廠商從一開始就在產品當中融入安全性。
三大裝置類型
穿戴式裝置基本上可分為三大類型:
1.「輸入型」裝置:這些是無時不刻都在記錄使用者資料的感應裝置,例如,幫使用者記錄步伐、距離、能量消耗、卡路里、心跳、GPS 定位等等的健身記錄器。這類裝置通常會先將資料儲存在裝置上,然後再上傳到手機或 PC,然後再同步到使用者的雲端帳號以保留歷史記錄與顯示統計圖表。未來還會出現一些可監控健康狀況 (如體溫、血氧濃度等等) 的醫療裝置。
2.「輸出型」裝置:這些是接收其他裝置 (如手機) 輸出資料的裝置,如智慧型手錶。這些裝置可顯示文字和其他應用程式資料來提升便利性,其顯示的資料通常來自網際網路,並且透過中介裝置傳遞。
3.「輸入輸出型」裝置:這些是擷取資料然後再將資料過濾並顯示的裝置,例如 Google Glass 就是,它有攝影機可以擷取現實世界的影像,但也可以將一些資料投射到使用者的視線當中。這些裝置可提供一些有關現實世界的額外資訊來提升使用者的日常生活體驗。還有一些稍微簡單一點的裝置也可擔任「輸入兼輸出」的工作,既可擷取使用者資料 (步伐、距離等等) 又可顯示來自配對手機的內容。
不過,目前雖然可以這樣大致分類,但整體趨勢卻是朝「輸入輸出整合」的方向發展,因為廠商都希望能盡量提供更多的價值。例如,讓健身記錄器也可提供手機簡訊、行事曆或其他資訊的通知。
資訊安全的觀點
從資訊安全的角度來看,我們很難說哪一類裝置比另一類安全。這是因為不同類型之間的差異只在攻擊的途徑而已,一個裝置的功能越多,遭到攻擊的可能性就越大。就這點來看,「輸入輸出型」裝置的攻擊面最大,而且也最可能遭到攻擊,不過,這並非表示它們就不安全。安全性取決於裝置的設計和「過去的表現」。所謂「過去的表現」是指裝置過去曾經承受多少次的攻擊而安然無恙。就新推出的裝置來說,駭客可能需要較多的時間來「測試」它們。不過,隨著時間發展,裝置將更加成熟,而駭客也將完全掌握這些裝置的內部運作原理,屆時其平台就不再像過去那麼安全。
在接下來的文章當中,我們將看看穿戴式裝置的所有相關攻擊和風險。下一篇請看這裡。
如需更多有關穿戴式裝置的資訊,您可以參閱「穿戴式裝置的時代,您準備好了嗎?(Are You Ready For Wearable Devices?) 」一文以及「穿戴式裝置徹底剖析 (The Ins and Outs of Wearable Devices)」這份圖文解說。如需更多有關智慧型裝置的資訊,您可以造訪我們的「萬物聯網資訊站 (Internet of Everything hub)」。
◎原文出處:https://blog.trendmicro.com/trendlabs-security-intelligence/the-security-implications-of-wearables-part-1/作者:David Sancho (趨勢科技資安威脅高級研究員)