注意!小米手环和Fitbit等智能手环会泄露用户隐私 听到这个消息你还好吗

1评论 2016-02-03 20:54:00 来源:虎嗅网 5个月斩获362.16%!

    小米手环、Fitbit、Jawbone、Garmin、Basis、Mio、Withings……是的,它们都在光明正大地收集你的用户信息(身份数据和健康数据),并在光明正大地泄露这些数据。

    英国每日邮报报道称,来自非营利组织Open Effect和多伦多大学的一项研究表明,上述7款主流运动手环会通过蓝牙连接泄露用户数据,即使将配对手机上的蓝牙功能关闭也无济于事。但研究人员称,Apple Watch并不存在这一问题(否则苹果股价又要跌三跌了)。

    当前的智能手环都是通过蓝牙跟手机配对,然后需要用户在使用这些设备前注册,涉及到用户的年龄、身高、体重、性别等信息,尤其用户登录需要手机号码或邮箱,配对后,智能手环将会通过APP将收集到的用户运动步数、里程、卡路里消耗、心率、睡眠数据等跟APP进行同步……哦,还包括你上传的个人头像。

    这给了黑客轻松入侵、窃取用户数据的机会。

    研究人员安德鲁·希尔茨(Andrew Hilts)表示:“这些运动追踪设备有保留设备标识符,在关闭手机蓝牙连接后,你的手环仍在广播独立标识符。

    希尔茨还表示:“业内已经制定了蓝牙隐私标准,明确说明设备厂商应如何保护用户隐私。我们正鼓励手环厂商接受这一标准。”Fitbit、Basis和Mio已对此进行回应,愿意就隐私保护和信息安全问题展开对话,Fitbit已表态愿意支持蓝牙隐私标准。

    其实这并不是智能手环首次被暴露存在泄露用户隐私的风险。

    早在2014年7月份,美国赛门铁克公司就在一份研究报告中称,可穿戴设备及其对应的APP存在用户隐私危险,即它们很容易将收集到的用户数据泄露出来,而蓝牙是分享位置信息的罪魁祸首

    2015年4月,卡巴斯基实验室高级恶意软件分析师Roman Unuchek在对多款常见智能手环同智能手机之间的互动进行检测后发现,这些智能手环所使用的验证手段均允许第三方隐身连接至这些可穿戴设备,并执行命令,甚至第三方应用还能通过APP入口获取使用者在过去几个小时中行走距离等个人数据。

    造成这一问题的根源,卡巴斯基与Open Effect和赛门铁克的研究基本一致,即问题出现在智能手环的配方方式上——通过蓝牙进行配对。Roman Unuchek表示:“攻击者可以利用设备开发者留下的安全漏洞进行攻击。目前的健身追踪器功能相对较少,仅能够计算使用者所走的步数,跟踪用户的睡眠周期等。但是这些智能手环的最新产品往往会添加更多功能,将能够收集更多关于用户的信息。所以,思考这些设备的安全性非常重要。我们需要确保追踪器设备同智能手机之间的互动得到适当的安全保护。”

    据悉,黑客只需要在运行Android4.3或更高版本的Android手机上安装一款特殊的未授权应用,就可以同特定厂商生产的智能手环进行配对。用户仅需按下智能手环上的一个按钮,对配对进行确认,即可建立连接,当手环震动,提示用户对配对进行确认时,用户往往无法知晓所连接的设备究竟是自己的,还是他人的设备,此时就很容易中招。

    在我此前对数十款智能手环进行体验和测试时,我就不止一次的质疑,用户如何保护自己日常佩戴刷出来的各项运动和健康数据不被窃取。

    比如,现在越来越多的智能手环具备来信、短信、微信和QQ等提醒功能,如果有一天你接到一个莫名其妙的电话进行诈骗或者让你去医院,你的心理阴影面积得多大?当你的心率数据被泄露后,是否会被卖给医疗保险公司或者医院进行非法研究呢?你的各项运动数据会不会被卖给一些大数据公司呢?以及,如果你的微信、QQ被盗了可能不是因为手机安全漏洞,而是通过智能手环泄露的。

    危害远远不止上述的这么轻松惬意,很有可能被用于很多犯罪,比如当用户收集到你早晚运动最频繁的地理位置和时间段时,很有可能对你打劫或者潜入你的住宅行窃,还有可能根据你的睡眠时段在你睡着的时候潜入……后果不敢深入想象。

    上述隐患也让很多消费者、尤其是对个人隐私非常敏感的用户天然地排斥包括智能手环和智能手表在内的运动健康追踪设备。而厂商亟需解决的是,加强对用户隐私的保护,并提升运动追踪APP的安全级别。

    当然需要说明的是,开篇7款手环仅仅是最具有代表性的、知名度较高的智能手环,而国内很多山寨智能手环在隐私安全方面表现可能更加糟糕,具体就不一一列举了,大家只需要去天猫、淘宝、京东等电商平台搜智能手环就可以搜到上百款你听说过和没听说过的品牌名,并且长相都极其雷同。

    补充说明,当我就这一问题向Fitbit中国区负责人和小米手环制造商华米科技的相关负责人进行求证时,Fitbit中国区负责人表示并不知情,而华米科技则截止发稿仍未回应。

    注:本文部门内容参考了驱动之家和雷锋网此前的相关报道。

责任编辑:Robot RF13015
10秒开户 中国证监会授牌   民生银行资金监管    基金超市 数据来源:盈利宝基金研究中心,巨灵数据支持 全场购买手续费4折起!
更多>> 近一年涨幅 股票型收益榜
更多>> 近一年涨幅 混合型收益榜
2016基金投资策略|9.8%高收益产品,限量秒杀 !|闲钱存盈活期,7日年化收益5%-25%
快来分享:
评论 已有 0 条评论