在每一年,亞洲黑帽大會(Black Hat Asia)都會聚集許多的資安研究人員及同好一起展示技術及應用程式可以被如何改進。研究人員在去年深入探討針對物聯網 IoT ,Internet of Thing)設備的漏洞和攻擊。今年也不例外,有更多駭客入侵及關注圍繞著物聯網話題,尤其是:穿戴式設備。
穿戴式技術包括配戴或植入身體的設備,使用應用程式來進行設定或互動,由感應器從周遭環境收集資料,再送到雲端進行儲存和分析。因為穿戴式設備經常用來追踪使用者的生命跡象或健康相關資料,因此安全問題經常圍繞著它們如何收集資料及處理使用者隱私展開。研究人員現在進一步闡述穿戴式設備在三個主要受攻擊面的攻擊情境:設備、應用程式和雲端 – 這些都涉及設備開發及安全實作方面的基礎問題。
[延伸閱讀:2018資安預測:通過穿戴式設備和醫療設備進行生物攻擊]
攻擊面一:開發周期短
Intel的體育集團安全研究經理Kavya Racharla和Deep Armor創辦人兼執行長Sumanth Naropanth解釋了一般穿戴式設備從概念到推出如何在六個月內完成。這可能也意味著沒有太多時間進行安全評估。Racharla說,一些穿戴式設備會用純文字格式儲存語音提示訊息,也就是說,如果語音提示訊息包含使用者名稱,也會被用純文字格式儲存起來。
[相關文章:你準備好使用穿戴式設備了嗎?]
攻擊面二:與多個應用程式共享資料
此外,穿戴式設備通常會與多個應用程式共享資料,用來記錄資料、控制音樂、發送訊息或是為了其他目的。如果這時有使用藍牙技術,那麼就有可能出現針對穿戴式設備劫持藍牙訊息的資料外洩問題或惡意軟體感染。而且這些安全問題已經假定穿戴式設備開發者使用加密並且實作了適當的藍牙通訊。
攻擊面三:資料都集中在一個穿戴式設備是關鍵風險之一
至於雲端,這是許多穿戴式設備儲存資料以及分析使用者活動的地方。資料都集中在一個穿戴式設備是關鍵風險之一。Naropanth補充說道,有時候不同公司的穿戴式設備只是「貼牌產品」(「代加工」),所以所有的資料都是儲存在同一個資料庫中。
確保穿戴式設備和其他聯網設備安全
隨著越來越多廠商推出了各種功能的設備,急著興奮開箱嘗新的購買者可能沒有辦法評估它們會對安全性帶來哪些危害。廠商有責任將安全性納入開發週期,確保將設備完整性和使用者隱私列為優先。這需要從概念階段就開始引入風險評估團隊。
因為穿戴式設備也可以透過智慧型手機應用程式進行操作,因此保護行動應用程式和手機也相當重要,像是更新韌體到最新版本及避免使用第三方應用程式等步驟。
@原文出處:Are Your Wearables Fit to Secure You? Researchers Outline 3 Attack Surfaces