小米手环、Fitbit、Jawbone、Garmin、Basis、Mio、Withings...是的,他们都在公开收集您的用户信息(身份/身体数据和健康数据)并公开泄露这些数据。
北京时间2月3日,英国《每日邮报》报道称,非盈利组织Open Effect和多伦多大学的一项新研究表明,上述七款主流智能手环都会通过蓝牙连接泄露用户数据,即使已配对使用手机关闭手机上的蓝牙功能也没有帮助。
不过,研究人员表示,Apple Watch 不存在这个问题(否则苹果股价会下跌三倍)。
同时,严格来说,这样的比较对于上述智能手环并不公平,因为Apple Watch属于智能手表的范畴。
它带有自己的操作系统,苹果是最注重用户隐私和安全的科技公司之一)。
目前的智能手环都是通过蓝牙与手机进行配对,然后要求用户在使用这些设备之前进行注册,其中涉及到用户的年龄、身高、体重、性别等信息。
特别是,用户登录需要手机号码或电子邮件地址。
配对后,智能手环会将收集到的运动步数、里程、卡路里消耗、心率、睡眠数据等与APP同步……哦,还包括你上传的个人头像。
这让黑客有机会轻松入侵并窃取用户数据,这意味着你每天戴着智能手环,免费为黑客工作。
研究人员安德鲁·希尔茨(Andrew Hilts)表示:“这些运动追踪设备保留了设备标识符。
关闭手机的蓝牙连接后,你的手环仍然在广播独立的标识符。
”他还表示:“业界已经制定了蓝牙隐私标准,以明确解释设备制造商应如何保护用户隐私。
我们正在鼓励手环制造商接受这一标准。
” Fitbit、Basis和Mio均已作出回应,并表示愿意就隐私保护和信息安全问题进行对话。
,Fitbit 已表示愿意支持蓝牙隐私标准。
事实上,这并不是智能手环第一次被曝出泄露用户隐私的风险。
早在今年7月,美国公司赛门铁克就在一份研究报告中表示,可穿戴设备及其相应的APP存在用户隐私风险,即它们很容易泄露收集到的用户数据,而蓝牙就是共享位置信息的罪魁祸首。
2020年4月,卡巴斯基实验室高级恶意软件分析师Roman Unuchek检测了一些常见的智能手环和智能手机之间的交互,发现这些智能手环使用的验证方法可以让第三方变得隐形。
连接这些可穿戴设备并执行命令,甚至第三方也可以通过APP门户获取用户在过去几个小时内行驶的距离等个人数据。
这个问题的根本原因,卡巴斯基、Open Effect和赛门铁克的研究基本一致,即问题出在智能手环的配对方式上——通过蓝牙配对。
Roman Unuchek表示:“攻击者可以利用设备开发商留下的安全漏洞进行攻击。
目前的健身追踪器功能相对较少,只能统计用户的步数、跟踪用户的睡眠周期等。
但是这些。
最新版本的智能手环往往会添加更多功能,并且能够收集更多用户信息,因此考虑这些设备的安全性非常重要,我们需要确保跟踪设备和智能手机之间的交互得到适当的保护。
据报道,黑客只需在运行Android 4.3或更高版本的Android手机上安装特殊的未经授权的应用程序,即可将其与特定品牌的智能手环配对。
用户只需按下智能手环上的按钮确认配对即可建立连接。
当手环振动并提示用户确认配对时,用户往往无法知道所连接的设备是否是自己的。
很容易被骗。
之前在体验和测试几十款智能手环时,我不止一次提出疑问:用户如何保护自己的各种运动和健康数据不被窃取。
例如,现在越来越多的智能手环具有来电、短信、微信、QQ提醒等功能。
如果有一天你接到莫名其妙的电话来诈骗你或者让你去医院,你的心理阴影会有多大? ?当你的心率数据泄露后,会不会被卖给医疗保险公司或医院进行非法研究?你的体育数据会卖给一些大数据公司吗?如果你的微信、QQ被盗,会通过智能手环泄露吗?其危害远远超出了上面提到的轻松和舒适。
很有可能被用于犯罪。
例如,当黑客/犯罪分子迟早收集有关您的信息时,当您处于最活跃的地理位置和时间段时,他们很可能会在途中抢劫您或趁您不在时潜入您的家中进行盗窃。
它们也可能根据你的睡眠时间趁你熟睡时潜入……我无法想象后果。
上述隐患也让很多消费者,尤其是对个人隐私非常敏感的消费者,自然而然地拒绝包括智能手环、智能手表在内的运动和健康追踪设备。
厂商迫切需要解决的是加强对用户隐私的保护,提高运动追踪APP的安全级别。
需要注意的是,一开始的七款手环只是最具代表性和知名度的智能手环,很多国产山寨智能手环在隐私和安全方面的表现可能更差。
我就不一一详细列出了。
你只需去天猫、淘宝、京东等电商平台搜索“智能手环”,就能找到数百个你听说过和从未听说过的品牌,而且它们看起来都非常相似。
补充说明:当我向Fitbit中国负责人及小米手环厂商华米科技相关负责人求证此事时,Fitbit中国负责人表示不了解此事,而华米科技仍表示不知情。
截至发稿时尚不知情。
没有反应。