埃默里盯着电脑屏幕看了将近一个小时,当莫蒂夫(Motiv)上的整版广告再次出现时,她的眼睛已经没有了光泽。她正在考虑是否要让步,给男友本买一个新的健身追踪器,作为他即将到来的马拉松比赛的礼物。他目前使用的手机应用程序工作正常,但本一直不习惯把iPhone戴在手臂上。事实上,它的重量分散了他的注意力。
埃默里认为他需要一个轻巧、结实、不显眼的东西来代替。而Motiv ring——当然是优雅的石板灰色——似乎是最好的选择。但在199美元的价格下,她立即退让了。不可否认的是,价格标签吸引她回到更便宜的选择。
当埃默里伸手去拿咖啡杯时,她想起了手腕上的Ela手镯的重量。在她完成为期两周的医疗任务后,本把它作为欢迎回家的礼物送给了她。他称之为智能吊坠,一种不能戴在脖子上的吊坠。他知道埃默里很容易想家,所以当本把她身边的照片和音频信息展示给她看时,埃默里欣喜若狂,这些都保存在圆形方形的石头上。
至少宣传册上是这么说的。事实上,她的个人文件存储在与Ela相关的云中。
虽然Emery只能狂欢,但她忍不住觉得别醒了别人可以看到她的文件。她是作为近亲的下一个护士,但在医院经常讨论黑客,被盗信息和锁定文件的故事,让她意识到从新生行业的拥有技术可以将一个人处于不稳定的位置。
埃默里和她目前的处境可能是虚构的,但她的困境是真实的。智能珠宝确实很有吸引力,但它也会给安全和隐私带来风险。
无论他们迷恋什么,潜在的买家都明智地考虑这一点,在他们下定决心之前,有明显的细节:数据。主要是,他们自由地允许他们的智能珠宝来监控,收集,分析和存储的数据发生。这些都可以访问,检索,运输或使用技能的任何人访问吗?可以在事故中进行数据泄漏,也可以简单地操纵某些元素(例如递增用户ID)?这些是我们需要继续问自己的一些问题违反的时代.
不仅如此,收集了关于一个人的健康和幸福的数据是另一个应该受到HIPAA等法规的保护,而不是。难怪的是,立法者和在网络安全和隐私部门工作的人对不仅仅是可穿戴技术的明显缺乏安全表示关切,但是物联网作为一个整体。
智能珠宝如何运作
智能珠宝,或可穿戴珠宝,是一种相对较新的形式可穿戴技术(WT)能够处理较低的数据。和其他WT一样,它通常不是一个独立的设备。它需要一个应用程序与你的智能珠宝配对,这样它就能完成设计的功能。简而言之,这就是智能珠宝和可穿戴设备的整体运作方式。
作为健身追踪器的可穿戴首饰通常遵循以下标准模式:
- 使用可穿戴设备上的传感器跟踪数据,如加速度计、陀螺仪、跟踪器等。
- 从可穿戴到智能手机的数据传输数据低功耗蓝牙(BLE)或蚂蚁加(Ant +)
- 聚合、分析、处理和比较智能手机中的数据。
- 通过互联网连接将数据从智能手机应用程序同步到其云服务器。
- 通过智能手机向用户呈现数据。
深入处理和数据分析也发生在云中。制造商为用户提供此额外服务作为选项。正如您所知,这是服务提供商如何将数据批准的方式。
如今,智能珠宝不仅仅是一款漂亮的健身追踪器。有些功能已经作为智能手机的延伸,提供来电通知、新短信和电子邮件通知。其他的可以用来睡觉或睡眠呼吸暂停监控,语音录制,免提分享和通信,解锁门或购买。少数智能珠宝甚至可以作为个人安全设备,火车或公共汽车通行证,银行卡或智能门钥匙.
但是,当珠宝变得越来越耀眼,处理器——可穿戴珠宝的核心电脑——随着时间的推移变得越来越智能时,人们可能会问:智能珠宝会变得越来越安全吗?这是在保护我的隐私吗?
不幸的是,这两个问题的答案都是“不”。
智能珠宝面临的安全和隐私挑战
由于处理器的尺寸——这是可穿戴设备轻便、相对便宜并适合大规模生产的必要条件——制造商在添加任何安全措施方面已经受到限制。这是大多数可穿戴设备的固有问题。
事实上,可以安全地说,我们在可穿戴设备中发现的一些漏洞或安全性缺点也可以在智能珠宝中找到。
在一篇题为"可穿戴技术设备安全性和隐私漏洞分析马来西亚大学(Universiti Sains Malaysia, USM)的研究人员Ke Wan Ching和Manmeet Mahinderjit Singh提出了可穿戴设备的几个弱点和限制,我们将它们分成了主要类别。这些都是:
- 很少或缺乏认证。大多数可穿戴设备无法验证或验证访问或使用它们的人是否属实。这些设备很容易受到数据注入攻击,拒绝服务(DOS)攻击,电池耗尽黑客。对于具有身份验证方案的小工具,系统通常不够安全。这很快就会被蛮力攻击.
- 漏水的祝福。因此,怀有恶意的人可以很容易地追踪佩戴智能珠宝的用户。如果地点很容易确定,那么隐私也会受到损害。其他针对可穿戴设备的蓝牙攻击包括窃听、监视和中间人(MiTM)攻击。
- 信息泄露。如果可以用精度确定一个位置,则可能会拾取黑客可能会拾取个人身份信息(PII)和其他数据一样容易。信息泄漏也会导致其他安全攻击,例如网络钓鱼.
- 缺乏加密。一些可穿戴设备以纯文本形式向应用程序发送和接收数据。很有可能智能珠宝也在这样做。
- 缺乏或不完整的隐私政策。一些智能珠宝制造商明确他们从访问其网站的用户收集的信息。然而,他们几乎没有提到他们从穿戴物和应用程序那里获得的更多个人数据。他们的隐私政策没有(或很少)说出正在收集的内容,何时收集的数据,将使用哪些数据或者可以保留多长时间。
- 不安全的会话。用户可以通过其应用程序访问其智能珠宝,其应用程序保存用户帐户。基于帐户的管理如果其弱点是它管理会话的方式,则存在风险。攻击者能够猜测用户帐户才能劫持会话或属于用户的访问数据。
同样需要注意的是,与智能手机和其他移动设备不同,智能珠宝的拥有者没有办法追踪他们的可穿戴珠宝,如果他们不小心放错了地方或丢失了它。
智能珠宝制造商如何解决挑战
欧盟的介绍一般资料保障规例(GDPR)对全球各行业的组织产生了海啸效应。可穿戴设备制造商也不例外。智能手表、智能腕带和其他可穿戴设备的用户可能已经注意到了他们同意的隐私政策的一些调整——这是一件好事。
让很多人感到惊讶的是,在安全和隐私方面,智能珠宝也并非完全没有这种功能。制造商认识到可穿戴设备可以用来保护数据和账户安全。他们也明白,他们的可穿戴设备需要保护。少数组织已经在采取措施。
我们在介绍叙述中使用的例子Motiv,已经在他们的设备中加入了生物识别和双因素认证方案,他们最近在一篇博客文章.Motiv Ring现在有一个叫做WalkID的功能,这是一个可以监控佩戴者步态的验证过程。它在后台持续运行,这意味着WalkID会定期检查佩戴者的身份。戒指现在也可以作为增加了一层保护到与之相关的在线帐户。在未来,图案已承诺它的用户无需密码登录,指纹扫描和面部识别。
钻石和数据 - 永远
今年1月,智能珠宝先锋公司Ringly告别可穿戴技术行业(可能是好的)只有四年。虽然并没有透露为什么,一个人不能把它作为可穿戴珠宝前未来的陷入困境的标志。相反,许多专家预测了对可穿戴技术的绝佳正面展望。然而,可穿戴物品行业必须共同努力解决现代智能珠宝中的许多弱点。
那么,你应该咬紧牙关,在智能珠宝上大肆挥霍吗?
答案仍然取决于你需要它做什么。如果你真的想要一个,记住你可以做一些安全措施来最小化这些风险。定期更新应用程序和固件,在可用的情况下利用额外的认证模式,使用强密码,永远不要分享你的PIN,不需要时关闭蓝牙,这些只是一些建议。
如何选择智能珠宝选项在安全方面发挥着关键作用。确保您选择一个真实的品牌,并通过不断提高我们上面提到的缺陷和隐私问题来表明这一点。第一代科技总是不安全。消费者必须留意的是未来的改进,而不仅仅是在外观和功能上,还可以如何保护自己和数据。
最后,等待也是可以的。认真对待。如果智能戒指、项链或手镯不能保护你的数据,或让你成为黑客的攻击对象,你就没有必要购买它们。最重要的是,选择其他能满足你需求的衣服,然后让它与你的着装相配,这是明智的选择。毕竟,智能珠宝行业还比较年轻,所以还有很长的路要走。随着每一个进步,我们只能希望智能珠宝配备更强大的安全措施和隐私友好的政策实施。
至于商业环境中的可穿戴物品- - - - - -好吧,这是另一个故事。
注释