OFweek可穿戴设备网:每天,全球数百万人积极记录他们生活、思想、经历和成就的各个方面。
此活动称为“自我跟踪”(也称为“自我跟踪”)。
量化自我”或“生活日记”)。
人们出于各种原因对自己进行追踪,导致大量的个人信息在不同地点生成、传输和存储。
因此,确保隐私和安全已成为设备和应用程序用户的重要考虑因素。
赛门铁克在大量自我跟踪设备和应用程序中发现了安全风险,最重要的发现之一是所有测试的可穿戴活动跟踪设备,甚至来自领先品牌的设备都受到位置跟踪的攻击。
自追踪系统如何工作?许多人使用各种小工具来追踪自己,例如电子腕带、智能手表、吊坠甚至智能服装。
这些小工具通常具有多个传感器、处理器、存储器和通信接口,允许用户轻松收集、存储数据并将数据传输到另一台计算机进行处理和分析。
图 1:典型的量化自我设备所包含的功能 尽管专门设计的小工具的使用越来越多,但智能手机仍然可能是最常用的自我跟踪设备。
现代智能手机内置了各种不同的传感器,许多自我跟踪应用程序可以更好地利用这些传感器。
现在许多人都在使用智能手机,并且由于免费自我跟踪应用程序的激增,用户现在可以更轻松地参与自我跟踪活动。
图2:充满传感器的当代智能手机 当用户想要进行自我追踪活动时,只需从不同的应用市场中选择一个应用程序,安装并注册帐户,就可以进行自我追踪活动。
当每次追踪完成后,用户不仅可以查看结果,还可以将采集到的数据同步存储到云端服务器。
你的“量化自我”有多安全?当我们向服务提供商发送个人信息和量化的自我数据时,我们可以信任他们吗?我们如何知道他们是否正在采取必要的措施来保护我们的信息和隐私?为了回答这些问题,赛门铁克对自我追踪的现状进行了深入研究,并仔细研究了市场上最流行的量化自我设备和应用程序,以更好地了解制造商为保护用户而做出的努力。
采取的相关措施。
可穿戴设备的位置跟踪 所有可穿戴活动跟踪设备都可以通过无线传输协议进行跟踪或定位。
目前市场上有各种可穿戴健身活动跟踪设备。
这些设备通常包括可以检测运动的传感器。
然而,大多数传感器并不是为位置跟踪而设计的。
用户经常需要将这些设备收集的数据同步到另一台设备或计算机上才能查看。
为了方便起见,许多制造商使用蓝牙低功耗设备将数据无线同步到智能手机或计算机。
然而,这种便利的功能是有代价的——该设备可能会泄露信息,从而允许其他人从某个位置访问它。
追踪到另一个位置。
通过测试,赛门铁克研究人员发现所有设备都可以轻松追踪,并且部分设备可能支持远程查询,具体取决于设备的配置。
第三方甚至无需与设备进行任何物理接触,即可近距离获取设备序列号或功能组合等信息。
图 3:大多数可穿戴活动跟踪设备都可以被追踪 我们的研究结果表明,这些设备的制造商似乎没有认真考虑或解决佩戴其产品的隐私影响。
这将使任何具有基本技能和简单工具的人都能够轻松跟踪设备及其佩戴者。
为什么我们要保持警惕?窃贼或跟踪者可能会出于恶意目的使用位置跟踪信息。
窃贼长期以来一直能够使用位置跟踪系统来获取有关潜在受害者是否在家的信息。
个人数据的跟踪和明文传输 20% 的应用程序使用明文传输用户凭证 许多量化自我应用程序和服务都有一个基于云服务器的组件,用户可以上传和存储从应用程序和服务收集的数据保护数据安全并进行分析。
除了存储与活动相关的数据外,某些服务还收集各种其他个人信息,例如出生日期、关系状态、地址、照片和其他个人数据。
为了防止未经授权访问用户数据,这些服务需要使用用户名和密码凭据保护用户帐户。
赛门铁克观察到,绝大多数此类应用程序和服务无法安全地处理敏感用户数据,例如用户名(例如电子邮件地址)和密码。
许多应用程序和服务通过不安全的介质(例如互联网)传输用户生成的数据,包括登录凭据等,而没有对数据进行任何保护(例如加密等)。
这意味着攻击者可以轻松拦截并读取数据。
此级别缺乏基本安全性是一个非常严重的漏洞,并引发了有关此类服务以及它们如何处理存储在服务器上的个人信息的问题。
鉴于大多数人在多个网站上重复使用登录凭据,这种以明文形式传输凭据的方法更令人担忧。
由于重复使用,从一项服务窃取的登录详细信息可能会用于访问更敏感的服务,例如电子邮件帐户或在线购物帐户。
缺乏隐私政策 52% 的测试应用缺乏隐私政策 隐私政策应该简单易懂,即使对于非法律专业人士来说也是如此,并且应该在用户注册服务之前向他们展示,以便他们能够使用前测量。
尽管隐私政策很重要,但我们检查的大多数应用程序都没有隐私政策。
隐私政策的缺乏表明了在线自助追踪服务的开发和提供过程中对安全问题的重视程度。
在此,赛门铁克建议用户在注册任何服务之前考虑隐私问题。
无意的数据泄露单个应用程序暴露的独立域的最大数量为 14,而平均值为 5。
赛门铁克发现一个应用程序平均暴露了 5 个不同的互联网域,但在最坏的情况下,我们发现一个应用程序能够在短时间内访问 14 个不同的域。
虽然我们理解应用程序可能需要联系少量的域来传输收集的数据并访问某些应用程序编程接口(API),例如广告API等。
但令人惊讶的是大量的应用程序涉及10个或更多不同的域用于不同的目的。
出于营销需求,许多应用程序向分析服务发送报告,这些分析服务收集并分析应用程序或用户行为。
此外,一些应用程序使用分析来研究应用程序本身的性能并向提供商报告性能问题、应用程序崩溃等。
尽管应用程序开发人员的初衷是好的,但由于应用程序使用第三方服务,用户活动信息仍然可能通过最不可能的渠道泄露。
例如,在一个旨在跟踪性生活的应用程序中,它通过向分析服务网站发送特定请求来开始和结束。
在通信过程中,应用程序发送唯一的帐户 ID、应用程序本身的名称以及显示跟踪活动的开始和结束的信息。
除了前面提到的情况外,还有许多其他情况可能会无意中泄露个人数据,例如人为错误、社会工程或粗心处理数据。
尽管我们喜欢与朋友和家人分享我们的生活,但仍有很多事情我们可能不愿意与他人分享。
当我们不想分享某些东西时,我们当然也不希望我们的服务提供商直接或间接地代表我们分享它。
其他安全漏洞 在任何共享服务中,用户帐户的作用是将一个用户的状态和数据与其他用户分开。
会话将用于管理和处理数据。
用户不仅可以访问自己的数据,还可以根据自己的访问权限对数据执行任务。
薄弱的会话管理可能会被网络犯罪分子利用,例如劫持会话和冒充其他用户,从而导致信息泄露、数据损坏和其他问题。
通过研究,赛门铁克发现许多网站未正确处理用户会话。
例如,攻击者可以浏览网站上其他用户的个人数据,或者可以上传SQL语句,例如在数据库中创建表的命令并要求服务器执行它们。
这些都是非常严重的安全错误,可能会导致用户数据库出现重大漏洞。
。
设计或实施不当的系统可能会暴露严重漏洞并允许攻击者利用它们,这可能导致服务提供商完全泄露用户数据。
根据数据的敏感性,此类漏洞可能会对用户产生或大或小的影响。
它可能小到泄露你今天喝了多少杯水,也可能严重到监视你当前的位置。
事件。
赛门铁克建议的预防措施 尽管安全和隐私存在巨大的潜在风险,量化自我运动仍在迅速发展,预计在未来几年将继续如此。
为了确保用户能够继续更安全地享受此类活动,西蒙建议采取以下安全做法,帮助用户防范个人和自追踪信息泄露的风险。