作者:秦志伟 来源: 中国科学报 发布时间:2020-2-20
选择字号:
锁定“手腕上的安全”漏洞

 

■本报记者 秦志伟

日常生活中具有定位功能的智能产品有很多,可穿戴设备就是其中一类。随着这些设备使用时间的增加,信息数据在云端服务器上不断积累,庞大的特征数据库正在形成。“这正是信息安全主要的风险点。”中国科学院深圳先进技术研究院研究员李烨告诉《中国科学报》。

中国工程院院士、网络空间安全专家方滨兴指出,搞清楚数据公司如何管理这些信息至关重要。

“守护孩子的智能产品”本身安全吗

智能手表是当下孩子们最时髦的物件之一。它的主要功能有通话、定位、求救、拍照、学习、游戏等。这个看似高科技的产品,正与中国家长的心理需求不谋而合——随时知道孩子在哪儿、随时可以联系上孩子。而生产厂商也正抓住家长担忧孩子安全的契机,趁势推出一大批围绕GPS定位技术和通话功能的儿童智能手表。

武汉大学计算机学院副院长刘树波保守估计,目前市场上各品牌的儿童智能手表有300多款。

据中国仪器仪表行业协会数据,2018年2月,我国儿童智能手表用户规模为3092万人;截至2019年2月,用户规模达到4630万人,同比增长了49.7%。其中消费者最看中定位功能,卖点占比高达84%。

但这个号称能“守护孩子安全”的产品,其本身真的安全吗?

刘树波在接受《中国科学报》采访时表示,他因孩子已长大,并未购买过儿童智能手表。但刘树波也曾思考过:“如果孩子小,我会不会给他买一个?应该不会,主要担心隐私泄露。”

这些隐私不仅包括儿童的个人身份信息和行动信息,还有家长的信息和家庭信息。

方滨兴及其孩子用过智能手表,他的做法是使用非真实身份信息注册,但方滨兴知道这样做有可能是徒劳的。“平台如果真想查,通过信息关联也能查到佩戴人及其家属的信息。”他告诉《中国科学报》。

鉴于此,2017年,德国联邦网络局禁止在该国销售儿童智能手表,敦促家长把现有的儿童手表销毁,并称其为监听设备。同年,挪威消费者委员会发布报告指出,部分儿童手表存在漏洞,如在没有加密的情况下传输和存储数据。

全新体验与安全风险共存

智能手表是智能可穿戴设备的细分产品之一。不难发现,这类产品的核心作用在于个人数据的获取以及服务定制。与传统智能终端相比,智能可穿戴产品与用户的融合度更高,联系也更加紧密。由于其可穿戴性,用户每天大部分时间将其带在身上。然而,这也带来了不容忽视的安全风险。

中国信息通信研究院泰尔终端实验室信息安全部博士王宗岳等人曾撰文总结,这主要体现在用户数据安全、系统和应用软件安全及社会安全3个层面。

数据传输过程被认为是最大的风险环节之一。不少可穿戴产品在接入网络过程中,数据并未加密或仅采用固定默认密钥进行加密。而攻击者可对数据进行监听、修改甚至伪造。其中,对数据的修改和伪造可能会干扰服务器端对用户状态的分析,从而带来更大的安全隐患。

此外,数据安全漏洞不仅存在于数据的传输环节,也包括是否向用户如实披露、用户能否彻底清理数据、企业使用这些数据做什么等。这些环节都存在用户数据被泄露的风险。

李烨发现,目前部分设备收集数据时并未经过用户知情同意。“正规产品在安装程序时,会提示用户。”

此外,这类产品一般通过Wi-Fi或蓝牙等无线连接技术将设备与其他智能终端或互联网进行连接。但是无线通信技术的安全性一直是短板。

“因此,业内除了研究各种加密技术之外也在不断研发新的无线通信技术。”中国科学院半导体研究所研究员李晋闽告诉《中国科学报》,可见光通信(Li-Fi)就是其中一个方向。“通过可见光进行信息传递,光线不会拐弯、穿透性差,因此不存在‘隔墙有耳’的信息泄露。”

但李晋闽也强调,Li-Fi技术距实际应用还有一段距离。国内最早开展此项工作的是中国科学院半导体研究所,其他还有解放军信息工程大学、复旦大学等单位。

“大部分安全问题可以避免”

在刘树波看来,目前国内部分厂商把精力集中在功能设计上,或委托第三方开发、或自研追求快速上市,这造成了产品很多安全漏洞,对身份认证、信息传输和存储采取的安全措施不够,很容易被黑客攻破。

对此,专家建议,需要建立并完善可穿戴设备的安全监管方案,对数据采集内容、敏感信息管理等方面进行监管,并推动设立相关安全技术、设备管理标准。

“网络是一个开放的环境,虽然不能把安全做到尽善尽美,但大部分安全问题可以避免。”刘树波告诉记者。

针对儿童智能手表,业内曾呼吁制定国家标准或行业标准。2018年3月15日,由深圳市消费者委员会牵头编制的国内首个儿童智能手表地方性标准《深圳市儿童智能手表技术标准文件》正式实施。“但我觉得这个文件还不够全面,该文件只是对材质、辐射、防水等方面进行了限定。”刘树波表示,还应该包含系统安全、身份认证、数据传输安全、数据存储安全、数据发布安全等信息安全和隐私保护的内容。

除此之外,刘树波还建议,技术上可采取一些措施,如硬件芯片层加密、双向认证、数据多模加密、云端加密存储,数据发布采用差分隐私等手段,把安全风险降到最低。

针对云端服务器上的风险点,李烨建议,要提高云端服务器的安全级别,让值得信赖的运营商托管。

智能可穿戴产品是连接人与智能社会的钥匙,当前正处在蓬勃发展阶段。但为安全计,受访专家建议,生产厂商要在注重产品功能多元化的同时,将安全策略作为贯穿研发始终的重要内容。

《中国科学报》 (2020-02-20 第3版 信息技术)
 
 打印  发E-mail给: 
    
 
相关新闻 相关论文

图片新闻
太空“大堵车” 也得“贴罚单” 水氧化还原揭示地幔深部化学新世界
尼人基因让女性更“高产” 万能生物催化剂全长晶体结构获破解
>>更多
 
一周新闻排行 一周新闻评论排行
 
编辑部推荐博文