智能手表均存在重大安全缺陷？

       惠普公司發布的一項評估結果顯示，具備網絡和通信功能的智能手表成為了網絡攻擊新的前沿陣地。ＨＰ Ｆｏｒｔｉｆｙ的研究發現，１００％的被測智能手表存在重大漏洞，包括身份驗證不充分、缺乏加密以及隱私保護問題。是危言聳聽，還是善意提醒？

       隨著物聯網市場的發展，智能手表因其便捷和強大的功能而日漸流行。在它們越來越成為主流設備之際，智能手表也越來越多地保存健康數據等敏感信息，并將通過連接移動應用而很快實現汽車和家庭解鎖等物理訪問功能。

       惠普評估了１０款智能手表以及它們的安卓和ｉＯＳ云、移動應用組件，并發現了許多安全隱患。

       首先是不充足的用戶身份驗證／授權。每個被測智能手表均采用移動界面，缺乏二元身份驗證以及在３－５次密碼嘗試失敗后鎖定賬號的能力。３０％的被測智能手表很容易被盜號（密碼保護政策太弱、缺乏賬號鎖定和用戶枚舉），這意味著攻擊者可以獲得訪問設備和數據的權限。

       第二是缺乏傳輸加密。鑒于個人信息被傳輸到云中的多個地點，傳輸加密至關重要。雖然所有被測產品均采用了ＳＳＬ／ＴＬＳ傳輸加密，但４０％的云連接很容易受到ＰＯＯＤＬＥ攻擊，允許使用弱密碼或仍舊使用ＳＳＬ ｖ２。

       第三則是隱私保護問題。所有智能手表都收集了某些形式的個人信息，例如姓名、地址、生日、體重、性別、心率和其他健康信息。鑒于某些產品存在賬號枚舉和使用弱密碼(容易被破譯的密碼) 的問題，這些個人信息就會存在泄漏的風險。

       熱議

       雖然智能手表可以提供有關人體健康和環境的寶貴數據，但它們也為更深層地侵犯隱私行為敞開了大門。黑客只要在智能手表中置入一個偽裝的應用程序就能獲取郵件、搜索引擎或保密文件中的信息。所有使用運動傳感器的可穿戴式設備的安全性都同樣薄弱。

       ——伊利諾伊大學教授 羅米特·羅伊·喬杜里

       要獲取智能手表上的數據對于專業黑客來講是很輕而易舉的事情，但是大家也不需要太過于驚慌。用戶若沒有丟失智能手表，那么黑客就沒法拿到硬件，因此信息泄露的可能性就會降低。所以，預防黑客入侵的最好方法就是不要丟失自己的智能手表。

       ——紐黑文大學教授 Ｉｂｒａｈｉｍ Ｂａｇｇｉｌｉ

       用戶和應用開發者沒有意識到信息會存儲在“大量”服務器上。這為黑客獲得這些數據提供了更多接入點，黑客可能在數據傳輸過程中截獲數據或攻擊存儲數據的服務器。消費者可能沒有意識到用于訪問智能手表的移動應用和Ｗｅｂ界面也會存在安全問題。隨著智能手表普及率的提高，它們將成為對黑客有吸引力的攻擊目標，因為用戶在這些設備上存儲著敏感信息，例如與購物有關的數據，甚至還有用于開門鎖的數據。在購買一款智能手表時，人們通常不會考慮這些安全擔憂和智能手表應用數據的使用方式，而是智能手表的功能，例如健身和健康追蹤等。