惠普研究发现智能手表易受攻击

作为一系列物联网安全调查行动的一部分,惠普日前发布了一项评估结果,其中确认,具备网络和通信功能的智能手表成为网络攻击新的前沿阵地。HP Fortify的这项研究发现,100%的被测智能手表存在重大漏洞,包括身份验证不充分、缺乏加密以及隐私保护问题。在这份报告中,惠普为在家和在工作场所安全地开发和使用智能手表提供了可行的建议。

随着物联网市场的发展,智能手表因其便捷和强大的功能而日渐流行。在它们越来越成为主流设备之际,智能手表也越来越多地保存健康数据等敏感信息,并将通过连接移动应用而很快实现汽车和家庭解锁等物理访问功能。
 
       惠普公司企业安全产品大中华区总经理李正为表示:“智能手表才刚刚开始进入我们的生活,但它们提供了全新的功能,可能会给敏感信息和活动带来新的威胁。随着智能手表加速普及,恶意攻击者对智能手机平台的兴趣也越来越大。在传输个人敏感数据或把智能手机带入工作场所时,我们必须要小心谨慎。”

惠普的这项研究对智能手表是否能够如设计的那样存储和保护敏感数据和任务进行了深入探讨。惠普用HP Fortify on Demand评估了10款智能手表以及它们的安卓和iOS云和移动应用组件,发现了许多安全隐患。

这项研究发现的最常见且很容易解决的安全问题包括:

•不充足的用户身份验证/授权:每个被测智能手表均采用移动界面,缺乏二元身份验证以及在3-5次密码尝试失败后锁定账号的能力。30%的被测智能手表很容易被盗号(密码保护政策太弱、缺乏账号锁定和用户枚举),这意味着攻击者可以获得访问设备和数据的权限。

       •缺乏传输加密:鉴于个人信息被传输到云中的多个地点,传输加密至关重要。虽然所有被测产品均采用了SSL/TLS传输加密,但40%的云连接很容易受到POODLE攻击,允许使用弱密码或仍旧使用SSL v2。

       •不安全的界面:30%的被测智能手表采用了基于云的Web界面,所有这些界面都存在账号枚举问题。在一项单独的测试中,30%也存在移动应用的账号枚举问题。这个漏洞让黑客可以通过从重置密码机制收到的反馈而发现有效的用户账号。

       •不安全的软件/固件:70%的智能手表存在固件更新保护问题,包括不加密地传输固件更新并且也不加密更新文件。然而,很多更新旨在帮助防止安装被感染的固件。虽然恶意更新不能被安装,但缺乏加密会允许文件被下载和分析。

       •隐私保护问题:所有智能手机都收集了某些形式的个人信息,例如姓名、地址、生日、体重、性别、心率和其它健康信息。鉴于某些产品存在账号枚举和使用弱密码(容易被破译的密码) 的问题,这些个人信息就存在泄漏的风险。

尽管一方面制造商努力在智能手表中融入必要的安全措施,但另一方面,对于消费者而言,在选择使用智能手表时需要考虑安全问题。除非具有强大的授权功能,否则建议用户不要启用敏感的访问控制功能,例如打开车门或家门。此外,启用密码功能、确保使用强密码和二元身份验证将有助于防止未经授权的数据访问。这些安全措施对于保护个人数据很重要,在智能手机进入工作场所并接入公司网络时则更加关键。完整版的报告中还提供了有关安全地使用智能手表的其它指南。

欲了解更多信息,请访问这个物联网系列中的第一份报告《2014年惠普物联网调查》,其中调查了10个最常见物联网设备的安全状况。此外,《2015年惠普家庭安全系统报告》调查了10大最常见的联网家用安全系统。

HP Fortify利用HP Fortify on Demand测试方法进行了惠普智能手表安全调查,结合使用了手动测试以及自动化工具。设备及其组件根据OWASP物联网十大安全风险以及与10大类别相关的具体漏洞进行了评估。

本调查中的所有数据和百分比均来自被测的10款智能手表。虽然市面上存在相当多的智能手表设备并且还在继续增加,惠普认为这10款智能手表存在的相似情况很好地体现了智能手表设备目前整体的安全状况。