可穿戴設(shè)備可能存在嚴(yán)重的網(wǎng)絡(luò)安全隱患

（文章來源：萬物互聯(lián)IOE）

可穿戴設(shè)備并沒有智能手機(jī)那么普遍——至少現(xiàn)在還沒有。IDC預(yù)測，從現(xiàn)在到2019年，可穿戴設(shè)備市場的年增長率將達(dá)到45%。目前，健身腕帶是最受歡迎的可穿戴設(shè)備，但智能手表和其他技術(shù)預(yù)計將在未來幾年有所增長。我們可以期待可穿戴設(shè)備在醫(yī)療保健和運(yùn)動訓(xùn)練中扮演重要角色。在業(yè)務(wù)設(shè)置中，可穿戴設(shè)備可用于身份驗(yàn)證目的，或用于協(xié)助不同的實(shí)際操作或基于機(jī)器的任務(wù)，包括與計算機(jī)和其他智能設(shè)備的接口。

可穿戴設(shè)備通常需要與智能手機(jī)、平板電腦或電腦相連。因此，它們將通過USB接口連接到公司的筆記本電腦或臺式機(jī)上，就像你現(xiàn)在的手機(jī)一樣，因此可能會向公司的系統(tǒng)中引入病毒或惡意軟件。根據(jù)INSIDE Secure的安全專家的說法，這是通過員工手腕或頭飾進(jìn)入公司網(wǎng)絡(luò)的后門。這讓黑客有機(jī)會下載私人企業(yè)信息，遠(yuǎn)程控制可穿戴設(shè)備，或允許未經(jīng)授權(quán)的人員進(jìn)入實(shí)體位置。

當(dāng)涉及到企業(yè)間諜活動時，可穿戴設(shè)備可能會改變內(nèi)部威脅的動態(tài)?？纱┐髟O(shè)備上的攝像頭和麥克風(fēng)可用于記錄私人談話或涉及知識產(chǎn)權(quán)討論的會議，拍攝機(jī)密文件或新產(chǎn)品原型，或在線共享信息。是的，所有這一切都可以用智能手機(jī)完成，但可穿戴設(shè)備要謹(jǐn)慎得多。如果有人把智能手機(jī)放在桌子上并把它設(shè)為世界紀(jì)錄，而不是把智能手表藏在襯衫袖子里，會有人注意到的。

NTT通信安全公司威脅和漏洞分析主管克里斯卡梅約(Chris Camejo)表示，如果安裝了惡意軟件，黑客就可以利用攝像頭和麥克風(fēng)做任何內(nèi)部人士能做的事情。我們已經(jīng)在智能手機(jī)惡意軟件包中看到了這種錄音功能，當(dāng)這種惡意軟件開始在野外出現(xiàn)時，我們可以毫不夸張地想象它會被整合到可穿戴設(shè)備的惡意軟件中。

Arxan Technologies的首席技術(shù)官薩姆拉赫曼(Sam Rehman)表示，尤其重要的是，企業(yè)必須只允許使用具有強(qiáng)化應(yīng)用程序代碼和先進(jìn)關(guān)鍵保護(hù)措施的可穿戴設(shè)備。這對于防止應(yīng)用程序代碼的逆向工程和篡改非常重要。如果沒有這種保護(hù)，可穿戴設(shè)備上的應(yīng)用程序可以很容易地被操縱，從而監(jiān)視企業(yè)、竊取企業(yè)敏感數(shù)據(jù)，以及做其他邪惡的事情。

卡梅約說，可穿戴設(shè)備還能了解儲存在智能手機(jī)上的大部分信息，而這些信息通常與公司電子郵件和其他敏感系統(tǒng)相連。這些設(shè)備因此目前所有相同的數(shù)據(jù)丟失的風(fēng)險,智能手機(jī)已經(jīng)提出,包括添加另一個向量為惡意軟件進(jìn)入網(wǎng)絡(luò),允許攻擊者截獲兩因素身份驗(yàn)證代碼金融欺詐的目的,和普通網(wǎng)絡(luò)監(jiān)視的所有敏感的通信通過電子郵件發(fā)生。

許多BYOD策略還不包括可穿戴設(shè)備。這意味著這些設(shè)備無法像智能手機(jī)、平板電腦或筆記本電腦那樣管理和監(jiān)控。正如Cigital的高級首席顧問阿米特塞蒂(Amit Sethi)所指出的那樣，如果沒有針對可穿戴設(shè)備的某種政策，IT團(tuán)隊(duì)可能無法控制用戶是否在可穿戴設(shè)備上啟用了任何類型的認(rèn)證或其他安全功能。此外，如果設(shè)備丟失或被盜，它通常無法遠(yuǎn)程刪除緩存在設(shè)備上的任何敏感數(shù)據(jù)。

這些設(shè)備上有限的用戶界面使得在其上運(yùn)行的應(yīng)用程序中添加安全特性變得很有挑戰(zhàn)性。Sethi提出了這樣一個問題:如果您正在為可穿戴設(shè)備開發(fā)企業(yè)應(yīng)用程序，并且希望在允許用戶做一些敏感的事情之前對用戶進(jìn)行身份驗(yàn)證，那么如何在不讓身份驗(yàn)證成為麻煩的情況下做到這一點(diǎn)呢?可用性通常勝過安全性。在可穿戴設(shè)備上運(yùn)行的應(yīng)用程序中添加安全功能，可能會使用戶使用該應(yīng)用程序比簡單地掏出智能手機(jī)更困難。

Sethi說，可穿戴設(shè)備通常有小電池、有限的內(nèi)存和其他一些限制。每當(dāng)我們有受限的環(huán)境中,我們看到一個缺乏平臺的保護(hù),可能是昂貴的在資源使用方面,和弱和專有加密協(xié)議,因?yàn)閺?qiáng)大的標(biāo)準(zhǔn)協(xié)議太緩慢,等等?？纱┐髟O(shè)備被處理的數(shù)據(jù)通常是風(fēng)險結(jié)果——當(dāng)它在智能手機(jī)和可穿戴設(shè)備之間的交通,和緩存時可穿戴設(shè)備。

Accellion公司的安全專家Paula Skokowski表示，可穿戴設(shè)備和配對智能手機(jī)之間的藍(lán)牙和Wi-Fi通信是一個非常脆弱的領(lǐng)域。盡管無線連接得到了改善，但黑客們總是想出新的方法來侵入和攔截數(shù)據(jù)。由于缺乏內(nèi)置的PIN保護(hù)或安全指紋，黑客通過不斷的嘗試和錯誤，有機(jī)會嘗試各種用戶名和密碼組合，直到破解密碼并能夠訪問存儲在設(shè)備上的內(nèi)容。

例如，在涉及健康相關(guān)數(shù)據(jù)時，可穿戴設(shè)備可能不符合法規(guī)?，F(xiàn)在許多公司都轉(zhuǎn)向這套追蹤健身輸出或監(jiān)控整體健康(如要求使用心臟監(jiān)視功能的健身追蹤)和保險公司分享,需要解決的問題是數(shù)據(jù)傳輸是否遵循HIPAA法規(guī)遵循法律。在使用智能設(shè)備和支付系統(tǒng)方面也可以提出類似的問題。此外，大多數(shù)傳輸?shù)臄?shù)據(jù)都沒有加密，您的公司可能會看到嚴(yán)重的遵從性故障。