赛门铁克提醒：警惕可穿戴活动追踪设备

主页（http://www.kuwanit.com）：赛门铁克提醒：警惕可穿戴活动追踪设备

    【IT168 资讯】每天，全球都有数百万人在积极地记录他们的生活、想法、体验和成就等各个方面，这种活动被称为“自我追踪”(亦称作"量化自我"或"生活日志")。人们因为各种原因进行自我追踪，从而导致个人信息被大量地生成、传输，以及被储存在不同位置，因此，确保隐私和安全成为设备和应用程序用户的重要考量因素。赛门铁克在大量自我追踪设备和应用程序中发现了安全风险，其中最重要的发现之一则是，在被检测的所有可穿戴活动追踪设备中，即便是来自领先品牌的设备也十分容易受到位置追踪的攻击。

自我追踪系统如何运行？

    很多人使用各种小配件进行自我追踪，例如电子腕带、智能手表、挂件甚至智能服装。这些小配件通常配有大量传感器、一个处理器、一个内存和一个通信接口，支持用户轻松收集、存储并将数据传输至另一台电脑进行处理和分析。

典型的量化自我设备所包含的特性

    尽管使用特殊设计的小配件日趋广泛，但是智能手机仍旧可能是人们进行自我追踪最常用的设备。现代的智能手机内置了各种不同的传感器，许多自我追踪应用程序都可以更好的对这些传感器加以利用。现在，许多人正在使用智能手机，由于免费自我追踪应用程序数量的激增，用户现在可以更轻松地进行自我追踪活动。

布满传感器的当代智能手机

    当用户希望开展自我追踪活动时，他们只需要从不同的应用程序市场中选择一个应用程序，进行安装并注册帐号，然后就可以开展自我追踪活动了。当每次追踪完成后，用户不仅可以查看成果，还可以将收集的数据同步并储存到云服务器中。

    你的“量化自我”有多安全？

    当我们将个人信息和量化自我数据发送给服务提供商时，我们是否可以信任他们呢?我们如何了解他们是否会采取必要的步骤来保护我们的信息和隐私？为解答这些问题，赛门铁克对自我追踪领域的当前发展状况进行了深入的研究，并对市场上最流行的量化自我设备和应用程序进行了仔细调研，从而更进一步了解厂商为保护用户所采取的相关措施。

    可穿戴设备的位置追踪

    通过无线传输协议，所有可穿戴活动追踪设备都可以被追踪或定位

    目前市场上出售各种可穿戴的健身活动追踪设备，这些设备通常包括可探测运动的传感器，但是，大多数传感器并不是为位置追踪而设计。用户通常需要将这些设备所收集的数据同步到另一台设备或电脑上才能够查看。为了方便起见，许多制造商使用低功耗蓝牙设备将数据无线同步到智能手机或电脑上，但是，这项便利的功能也带来了代价—设备可能会泄露信息，允许其他人从一个位置追踪到另一个位置。

    通过测试，赛门铁克研究人员发现，所有设备都可以被轻松追踪，一些设备还有可能支持远程查询，这取决于设备的配置。第三方甚至不需要与设备进行任何物理接触，就可以从近距离获取设备的序列号或特性组合等信息。

图3：大多数可穿戴活动追踪设备都可以被追踪

    我们的研究结果显示，这些设备的制造商好像并没有认真地考虑过或解决佩戴其产品对用户隐私所带来的影响。这将导致，任何具有基本技能和简单工具的人都能够轻松地追踪设备以及设备佩戴者。

    为何要保持警惕？

    窃贼或追踪者很可能会使用位置追踪信息，进行恶意的行为。窃贼早已能够使用位置追踪系统，获取潜在受害者是否在家的信息。

    追踪和个人数据的明文传输

    20%的应用程序使用明文来传输用户的证书

    许多量化自我应用程序和服务都具有一个基于云服务器的组件，用户可以上传和存储从应用程序和服务中收集的数据，从而保护数据安全和进行分析。除了储存活动相关的数据以外，一些服务还会收集其他各种个人信息，例如出生日期、感情状态、地址、照片和其他个人数据。为了防止对用户数据进行非授权访问，这些服务均要求使用具有用户名和密码凭据保护的用户帐号。

    赛门铁克通过观察发现，绝大部分这种应用程序和服务，都无法安全地处理敏感的用户数据，例如用户名(如电子邮箱地址)和密码。许多应用程序和服务通过不安全的媒介(例如互联网)传输用户生成的数据，包括登录凭据等，而不对数据进行任何保护(例如加密等)。这意味着，攻击者能够轻松地截获和阅读数据。在这一层级上缺少基本的安全性是非常严重的漏洞，这也引发人们对于此类服务和如何处理存储在其服务器上的个人信息的质疑。

    为何要保持警惕？

    鉴于大部分人都会在多个网站上重复使用登录凭证，这种明文传输凭证的方式更加令人担忧。由于重复使用，从一种服务中盗取的登录详细信息可能会被用于访问更敏感的服务，如电子邮箱帐号或网上购物帐号。

    缺乏隐私政策

    52%受检测的应用程序缺乏隐私政策

    隐私政策应该简单易懂，即使是那些非法律专业人士也能够理解，并且要在用户注册某项服务之前向其展示，以便他们在使用之前进行衡量。 尽管隐私政策如此重要，但是我们检测的大多数应用程序都没有隐私政策。

    为何要保持警惕？

    在网络自我追踪服务的发展和供应过程中，隐私政策的缺乏显示出安全问题所受到的重视程度。在此，赛门铁克建议用户在注册任何服务之前考虑隐私问题。

    无意识的数据泄露

    单个应用程序所接触的单独域的最大数量是14，而平均数是5