可穿戴设备发展遭遇“木桶效应”，安全问题或成为最短的“木板”

今年苹果新品发布会上，Apple Watch的亮相，再次让可穿戴设备成为业界关注的焦点。大多数人认为，可穿戴设备将是未来消费电子产品必然的发展方向，也将成为手机等现有信息终端的革新者和颠覆者。然而，我们在期待可穿戴时代到来的同时，也不能忘记其带来的信息安全风险，这或将成为决定可穿戴设备行业发展高度的最短“木板”。

可穿戴设备功能越强大，安全问题就越值得担心

顾名思义，可穿戴设备就是可以佩戴在身上的信息交换设备。与传统的信息交换设备不同，它们往往内置各种传感器，直接感知身体的各种数据（如步数、步行距离、卡路里、心率、GPS坐标等）。这些数据在后台收集、分析后形成具体的结论，告诉消费者自身的健康和运动状况，甚至形成直接的建议。

不断发展的可穿戴设备将更多地成为信息输入和输出的混合设备，即可以收集数据、过滤处理数据并显示的设备。例如，谷歌眼镜配备了摄像头，可以捕捉真实场景，并通过视网膜投影设备将数据输出给用户。这样的信息输入输出设备可以让用户做很多事情，比如提供健康调整建议、控制家居设备等。一旦黑客入侵此类设备，他们所能进行的破坏行为将足以让更多人感到担忧。

而且，设备的功能越多，可以用来发动攻击的手段就越多。趋势科技（中国）业务发展总监童宁指出：“如今的可穿戴设备内置的功能越来越多，在很多应用场景中，黑客可以通过Wi-Fi网络、蓝牙、NFC、声音等方式发动攻击。而各类传感器的使用也增加了黑客可以利用的方式，用户被攻击的风险自然也会相应增加。”

一个可以稍微缓解我们担忧的事实是，这些可穿戴设备基本上都是全新的平台，其系统架构和产品特性与传统信息设备有明显区别，这迫使黑客必须花一些时间研究这些新平台。随着产品日趋成熟，攻击者逐渐了解和掌握设备内部的工作原理，新平台的安全性就会变得不那么重要。

针对可穿戴设备的攻击将“百花齐放”

黑客不仅会攻击可穿戴设备，还会将攻击目标扩大到整个信息链，寻找最薄弱的环节。与可穿戴设备相关的云服务提供商、中介服务提供商甚至可穿戴设备本身都可能成为攻击目标。具体来说，这些攻击将包括以下几种方式：

1. 针对可穿戴设备云服务提供商的攻击

目前可穿戴设备服务基本都是基于云计算网络实现的，云服务商存储并处理大量用户隐私数据，因此攻击者经常会入侵云服务商，获取存储在云端的数据。此类攻击具有较多传统攻击特征，攻击者可能通过针对性攻击寻找云服务商的安全漏洞，进行更隐蔽、更具威胁性的攻击，窃取用户账号信息。

一旦用户账户被盗，攻击者就能看到可穿戴设备上的数据，了解更详细的用户信息，这有助于他们通过发送垃圾邮件有针对性地开展非法活动。这并不是什么新鲜事：2011 年，比特币交易网站 MtGox 遭遇数据泄露，其用户收到了有针对性的金融服务垃圾邮件。作为比特币用户，垃圾邮件发送者认为，他们更有可能相信与金融相关的骗局，而不是对减肥产品感兴趣。

2. 攻击中间应用程序

现在，应用开发者针对可穿戴设备开发的应用越来越多，由于这些应用不受统一的安全标准约束，其安全性未知，为攻击者提供了更多的攻击途径，其中最简单的方式就是让用户安装恶意应用，而大多数攻击者都是利用没有严格安全审核的第三方应用商店来实现这一目的。

在这种类型的攻击中，攻击者会搜索受害者的更完整数据，并选择合适的应用程序让受害者安装。例如，恶意软件可以针对Apple Watch开发一款恶意应用程序，利用它随时确定用户的位置，并根据用户的地理位置进行广告或点击欺诈。

3.直接入侵可穿戴设备

攻击者可以从传统的 APT 攻击中汲取灵感，进行有针对性的入侵。当然，这种入侵一般针对的是高价值目标（如政客、商界人士、意见领袖等），攻击范围从窃取个人数据到物理破坏摄像设备。这类攻击影响他们的日常生活，对专业领域使用的设备影响重大：简单的拒绝服务攻击可以阻止医生进行手术，或者阻止执法人员收集输入数据以追捕罪犯。

这些攻击中最常使用的功能是蓝牙，而随着可穿戴设备的发展，还可能包括声音、NFC 等更多方式。一般来说，攻击者需要在物理上靠近目标设备，这减少了目标范围，增加了攻击难度，但对于特定目标来说，这种攻击仍然极其危险。

防止对可穿戴设备的攻击需要采取预防措施

虽然针对可穿戴设备的攻击目前还比较少见，但随着可穿戴设备应用生态的不断完善、用户数量的不断增加，可以预见，针对可穿戴设备的攻击将大幅增加。那么，如何防范可穿戴设备的攻击呢？童宁指出：“目前可穿戴设备的风险多集中在应用生态的上游环节，因此可穿戴服务提供商承担着尤为重要的安全责任。服务提供商除了加强网络安全防御措施、洞察攻击迹象外，还需要在设备中采用更为严苛的安全协议，保障用户数据的安全。同时，也要提醒消费者，不要随意在社交媒体上分享可穿戴设备产生的个人隐私数据，避免带来不必要的风险。”

可穿戴设备的终端用户也需要对此提高警惕。除了在选择可穿戴设备和安装应用程序时保持警惕，并尽量选择信誉良好的服务提供商外，他们还需要意识到可穿戴设备最终只是信息交换设备，它们无法完全指导我们应该如何生活，所以不要把自己的所有信息暴露给它们，也不要轻信每一条建议。