专访信息安全领域专家何淇丹 如何让可穿戴设备更安全？

本篇文章2032字，读完约5分钟

就如何让可穿戴设备更安全采访信息安全专家何启丹。

本报记者王陈武北京报道

随着可穿戴设备市场的火爆，可穿戴设备在追求市场定位和分层的同时，将为不同的消费者开发越来越多的功能性产品。

然而，由于可穿戴设备产生的数据涉及大量的个人隐私，制造商如何突破新兴领域的安全问题成为人们关注的焦点。

一位来自五云的网络工程师。一个国内互联网安全漏洞平台告诉21世纪经济报道，在可穿戴领域没有相关的网络安全技术标准。作为一种新产品，可穿戴设备产生的数据介于个人网络数据和医疗数据之间。然而，它模糊了两者之间的界限，医疗数据属于一个受到严格监管的行业，受到许多规范的限制；网络数据是一个薄弱的监管领域，不同的制造商保护数据的能力不同。即使数据是按照最低要求加密的，一些制造商也可能做得不好。

从可穿戴设备的数据流来看，从设备到传输网络、控制终端和云的整个过程比以前更加复杂。因此，端到端保护也是必要的，例如整个传输过程的加密、用户方的增强认证(生物识别、多因素认证等)。)，更强的权限控制和云中的隔离，等等。

关于可穿戴设备的信息安全，《21世纪经济报道》记者采访了曾在中国顶级安全团队pwn2own中连续三次夺冠的团队成员何启丹。

《21世纪》:一些制造商报告称，他们自己的一些数据被相关公司锁定，如保险和医疗单位。现在，可穿戴设备产生的数据进入黑色产品的关注领域了吗？如果这种数据被泄露会发生什么？

何启丹:是的。至少从过去来看，黑客入侵医院并从受利益或竞争对手驱动的制药机构窃取数据的情况并不少见。可穿戴设备作为一个新兴的热点领域，自然引起了黑色产品的关注。由于可穿戴设备的自然属性，它们与用户个人信息的结合程度更强。一旦泄露，将对用户隐私造成毁灭性打击，甚至威胁用户的人身健康和安全。

21世纪:是否有可穿戴设备制造商或相关制造商泄露信息的案例？泄漏的原因是什么？该事件是如何解决的？

何启丹:发生了。去年，据报道，国内可穿戴设备制造商存在越权漏洞，导致攻击者通过界面列举其他手镯持有者的云信息。与记者沟通后，云接口的认证问题得到了解决。

此外，2014年，外国研究人员携带蓝牙嗅探器设备参加了一场马拉松比赛，并在起跑线和终点线记录了563个不同设备的信息，其中大部分都没有加密，这使得研究人员可以轻松获取设备传输的健康信息，并通过mac地址和广播设备名称定位特定设备和佩戴者。这一攻击显示了未加密的可穿戴数据带来的隐私风险。

21世纪:苹果手表等可穿戴设备平台包含大量第三方应用。这些应用程序还会获得用户在使用手表时生成的私人数据吗？这些应用是否增加了苹果手表等设备受损的可能性？为什么？

何启丹:苹果设计的苹果手表试图在建筑中避免这个问题。第三方应用程序不是以独立的形式存在，而是以iphone应用程序的附加形式存在。watchkit应用程序在访问数据时需要获得用户许可，包括健康和位置请求。然而，因为苹果手表提供独立的网络和蓝牙通信功能，这些是自然的攻击面。尽管苹果试图在架构中避免这种情况，但不能保证这种隔离是绝对正确的。所以这个答案是可能的。

《21世纪》:一般来说，可穿戴设备必须与手机设备相连。这对攻击者来说是一个突破吗？这会降低手机的安全性吗？手机制造商应该如何确保可穿戴设备访问的安全性？

何启丹:理论上是可能的。因为可穿戴设备通过蓝牙与手机通信，如果手机不仔细考虑设备，可能会导致问题。制造商在设计中应遵循最小攻击面和最大防护的原则，并隔离设备和数据访问。

21世纪:硬件制造商对可穿戴设备的信息保护有什么要求？

何启丹:制造商应该严格按照行业标准对数据进行高强度加密，比如密钥长度至少为256位的aes加密。根据不同的数据使用场景，有更详细的要求:在用户允许的情况下挖掘大数据时，应严格遵循匿名原则。在对数据进行模糊化时，应删除具有识别度的用户信息，以防止用户的个人隐私被泄露。当简单地将其用作云数据管理工具时，数据应该使用用户生成或指定的密钥进行不对称加密，并且密钥可以存储在用户自己的设备上，以便对用户透明而对制造商不透明。

厂商在设备与云和终端之间的通信过程中应严格使用加密传输技术，并严格检查对方的身份。例如，传输过程中使用的rsa公钥长度至少应为1024-2048位。

同时，厂商应加强对it设备、相关服务器和员工办公设备的安全加固、日志审计和入侵检测，防止易受入侵。

《21世纪》:有什么国际经验可以借鉴吗？如果发生这样的泄密事件，将会受到怎样的惩罚？

何启丹:苹果是这方面的典范，其公开信息可供相关企业参考。可穿戴设备收集的数据属于美国的个人身份信息(PII)，联邦法律明确要求个人身份信息受到保护并负有保密义务。企业还应该欢迎报告漏洞的安全研究人员并与之合作，并与安全社区一起构建安全性。

监察机关应当对相关企业实施数据保护的情况进行监督，对违反规范、泄露数据的企业实施行政处罚。情节严重的，依法追究相关责任人的刑事责任。(谭主编)