于梅君
主笔、视频制作:于梅君
近日,国家安全部发布安全提示,提醒公众警惕智能手表、手环等智能穿戴设备可能带来的数据泄露风险,并严禁在涉密场所使用。智能穿戴设备存在哪些安全隐患?日常生活中该如何防范?
“隐形窃听器”贴身相伴,私密信息“步步惊心”
抬起手腕,可以接听电话,回复微信,运动时还可以监测心率……数字化时代,智能手表、智能手环、智能眼镜等可穿戴设备普及,它们不仅能记录用户的健康数据,如脉搏、血压、睡眠质量等,还能提供精准导航服务,实现远程通信以及各类信息的即时推送。
从职场人士到健身达人,从老年人到青少年,智能穿戴设备已成为“必备神器”。据国际数据公司(IDC)最新发布的《全球可穿戴设备市场季度跟踪报告》,2024年,全球腕戴设备市场出货量为1.9亿台,中国市场出货量达到6116万台,同比增长19.3%,成为全球最大的腕戴设备市场。
不过,在给用户带来便捷的同时,智能穿戴设备潜在的泄密风险不容小觑。
这些设备通常内置了摄像头和麦克风并自带定位功能等,可获取用户的指纹、虹膜、面部信息等生物特征,能实时记录脉搏、血压等健康数据,以及行为状态与活动轨迹,对用户进行精准人物画像,若此类数据不慎泄露,可能引发安全问题。
智能穿戴设备在使用中,可能与社交、支付软件等各类应用程序关联,相关数据会自动同步到云端服务器。但云存储在安全保密领域存在一定局限性,一旦账号被破解,或服务商自身存在系统漏洞,又或者遭受境外间谍情报机关的攻击,则可能导致存储在云端的信息泄露或被恶意利用。
此外,部分智能穿戴设备系统不够完善,存在第三方程序违规获取权限、系统更新滞后等状况,黑客可能利用这些安全漏洞植入木马程序,进而导致数据被违规收集、个人隐私泄露,甚至设备被远程控制。
你每天戴的蓝牙耳机可能被定位跟踪?
智能穿戴设备一般通过蓝牙、Wi-Fi等方式,与手机或其他设备连接,部分设备还具备“自组网”特性,可在无基站情况下实现多终端互联,形成独立通信网络。
与大多数无线技术类似,蓝牙通信也很容易遭受各种安全威胁。近日有报道称,部分蓝牙耳机存在安全漏洞,可被不法分子快速植入具有定位功能的代码,从而实现远程跟踪,甚至监听。
“蓝牙耳机成定位器、监听器”是危言耸听,还是确有其事?北京理工大学计算机网络对抗研究所所长闫怀志表示,从技术原理来看,蓝牙耳机确实存在被监听、定位跟踪的可能。
比如,在蓝牙耳机首次配对时,需要用户使用PIN码(个人识别码)验证,PIN码通常由4到6位数字组成。验证时,蓝牙耳机会自动使用自带的加密算法对该码进行加密,然后传输给目标设备进行身份认证。
在此过程中,攻击者可能会拦截蓝牙通信数据包,然后伪装成目标设备进行连接,或者采用暴力攻击的方法来破解PIN码,进而攻破蓝牙耳机系统。
此外,攻击者还可能在蓝牙耳机处于等待配对状态时,趁机扫描到该耳机并与之配对,可轻松植入恶意代码,从而实现对蓝牙耳机的监听或定位跟踪。如果攻击者利用网络,将该定位信息传播出去,甚至能实现任意远距离的定位跟踪。
该如何给蓝牙耳机竖起安全屏障呢?“从根本上来说,蓝牙耳机和手机系统开发商,应从技术层面来防范蓝牙耳机被攻击。”闫怀志表示。
我国已开始施行《个人信息保护法》,通过蓝牙耳机等方式来窃取个人隐私信息,涉嫌违法。日常生活中,消费者应尽可能在安全区域进行蓝牙耳机配对,且不要频繁地进行;仅在必要时启用蓝牙耳机,并最小化语音通话持续时间;蓝牙耳机配对时,要始终验证并确认正在配对的设备,如有意外提示,不要输入密码。
儿童智能手表里或潜藏“大灰狼”
可语音、视频通话,还能精准确定孩子位置。在家长眼中,那一寸见方的儿童智能手表很实用,就像一部戴在手腕上的智能手机。据中国产业研究院相关报告,目前我国儿童智能手表的市场普及率约为30%,3个孩子中就有1个有智能手表。那么,谁来守护孩子“手腕上的安全”?
此前,“3·15信息安全实验室”针对儿童智能手表展开测试,发现部分产品存在隐私泄露的安全隐患。测试人员将一个恶意程序的下载二维码伪装成抽奖游戏,贴在孩子家门口,孩子扫码后,恶意程序轻松进驻到了智能手表中。
恶意程序无需用户授权就可以获取定位、通讯录、麦克风、摄像头等多种敏感权限,轻易获取孩子的位置、人脸图像、录音等隐私信息,甚至可以让陌生人远程操控,监听监看孩子的一举一动。
国内一家网络安全反馈机构的报告也表示:“儿童智能手表存在安全漏洞,可导致儿童被黑客实时监控,获取儿童的日常行走轨迹,以及实时环境声音。”
绿盟科技信息安全运营主管张皓天称,目前儿童智能手表已基本类似智能机,成人电子产品常见的钓鱼短信、诱导扫描的恶意二维码等情况,孩子也会遇到。“儿童相对缺乏判断力,所以家长要教导孩子不能让设备脱离自己的掌控。”
终端厂家更要加强技术更新换代,添加通讯环节的校验机制、信息传输验证机制、支付限额限制等手段,确保监护人对特定操作进行适当控制,例如交友功能、应用内付费等,以防其成为“行走的偷窥神器”。
黑客可通过用户眼动输入窃取信息
你敢相信吗?只需戴上一副特殊的眼镜,对着陌生人轻轻一拍,短短几秒,对方的姓名、住址、联系方式乃至亲属信息等,就会毫无保留地呈现在眼前。这究竟是科幻电影中的情节,还是现实存在的黑科技?
据媒体报道,日前,美国哈佛大学两名学生通过实验,展示了智能眼镜在隐私泄露方面的巨大隐患。他们利用某品牌智能眼镜,结合人脸识别软件和公开的数据库,开发出名为I-XRAY的系统。
该系统通过智能眼镜拍摄人脸,将视频流直接传输到某移动社交应用,通过AI技术识别视频中的人脸,并与公开数据库中的信息匹配,从而获取个人隐私数据,快速完成对目标人物的信息收集。
尽管这只是一个实验,但是这种技术的实现,引发了关于可穿戴设备与人工智能结合所带来隐私风险的广泛讨论。因为这类工具可通过公开数据库和开源情报轻松获取个人信息。一些人担忧,未来类似技术可能被不法分子利用,进一步威胁个人隐私和安全。
此前,某品牌混合现实头戴式设备曝出一个安全漏洞,一旦被黑客成功利用,他们就可以推断出用户在虚拟键盘上输入的具体数据。
佛罗里达大学的学者对此表示:这是一种新颖的攻击,因为攻击者可以从头像图片中,推断出与眼睛有关的生物特征,从而重建通过注视控制输入的文本,提取用户键入的密码等敏感信息。在该漏洞披露后,品牌方在最新发布的产品中解决了这一问题。
构筑智能穿戴设备立体安全防线
一块手表、一枚手环,或许就是守护国家安全及个人隐私的“第一道闸门”。为防范智能穿戴设备的泄密风险,国安部门最近发文提示,在涉密场所应严禁使用此类设备,同时禁止其与涉密信息系统连接。涉密场所的入口处和办公区域等显著位置,需设置警示标识,并配备专门的电磁隔离保管箱,对进入人员的电子设备进行集中保管,从源头上杜绝失泄密隐患。
对于普通用户而言,在日常生活中也需加强自用管理。应选择正规渠道购买产品,并及时更新设备的系统和应用程序;合理设置设备权限,谨慎授权第三方应用,关闭位置定位分享、麦克风等非必要功能;避免在设备中存储敏感信息,对陌生链接和可疑应用程序保持高度警惕,尽量不连接公共网络,还要定期对设备进行杀毒和数据清查。
知多一点
别乱丢!智能“废品”里藏有大秘密
数字化时代,许多智能设备存储着我们的社交轨迹、财务信息、消费习惯、健康数据等大量敏感信息。闲置废旧智能设备如果处理不当,可能成为泄密黑洞。
人们通常认为,手动删除信息并将智能设备恢复出厂设置就安全了。殊不知,普通删除只是把信息数据标记为“可覆盖”状态,数据依然留在存储芯片里,很容易通过专业数据恢复软件还原。公开资料显示,我国近半数闲置交易智能设备,存在数据残留或数据擦除不彻底问题。
因此,你随意丢弃的“废物”,可能变成别有用心者眼中任意访问的数据库、信息源。
个别智能设备在关机后仍能被远程定位与追踪,如果该设备事先被安装了特定程序,或预留后门,其摄像录音功能在关机状态下也能被激活使用。比起正在使用的手机,已关机的闲置智能设备更容易被忽视,可能在不经意间成为监控窃听的工具。
国家安全机关提示,闲置智能设备不同于一般的废旧物品,在日常处置时,要做好防范措施,牢记涉密不上网、上网不涉密。
在更换智能设备前,应彻底删除旧设备中的所有数据。为防止数据痕迹残留,可再度存入一些无关紧要的内容,占用存储空间后再进行恢复出厂设置操作,如此反复,尽量覆盖原存储信息,降低数据被恢复的风险。
及时退出旧设备中所有应用的登录状态,删除过往设备登录记录,必要时可修改重要账户密码;及时关闭定位服务和麦克风等隐私授权,千万不要未经任何处理就将旧手机出售、捐赠或随意丢弃。
热门评论 我要评论 微信扫码
移动端评论
暂无评论