惠普(HP)旗下的企業安全軟體部門Fortify公布了一項有關智慧型手錶的安全研究報告,他們測試了市場上最受歡迎的10款智慧型手錶,發現全數都含有可遭攻擊的安全風險,雖然惠普並未揭露所測試的10款裝置,但BBC則報導,包括蘋果、Pebble、三星及Sony所推出的手錶都在測試名單內。

惠普表示,這10款智慧型手錶都含有重大的安全漏洞,諸如認證不足、缺乏加密及隱私考量等。在認證部份,Fortify測試了手錶及與之搭配的行動介面,發現它們缺乏雙因素認證機制,也不會在多次輸入錯誤密碼後鎖住帳號。其中有30%的手錶暗藏帳號捕獲(account harvesting)風險,代表駭客可以藉由各種脆弱的安全措施掌控裝置與資料的存取權。

在通訊加密的測試上,雖然所有手錶都都導入了SSL/TLS加密機制,但仍有40%的雲端連結有「貴賓狗」(POODLE)攻擊風險。 此外,有30%的智慧型手錶使用基於雲端的網路介面而招致帳號訊息外洩(account enumeration)風險。並有7成含有未加密韌體更新的傳輸或檔案。倘若駭客取得使用者的帳號,那麼手錶中所儲存的個人資訊與健康資訊都將外洩。

該研究建議智慧型手錶製造商應妥善部署TLS加密協定,同時要求用戶使用強大的密碼,導入更多控制以避免中間人攻擊,同時應自行打造專用應用程式。另也建議消費者關閉機密資料存取功能,啟用密碼功能與安全機制,不論是在手錶或其他與之搭配的手機或程式都應使用強密碼,以及不要允許任何陌生的配對請求。

Fortify總經理Jason Schmitt表示,智慧型手錶才剛要成為人們生活的一部份,但它們所帶來的功能可能也開啟了新的資安威脅大門,隨著市場加速採用智慧型手錶,該平台將會吸引大量企圖濫用其存取權限的駭客,在它要傳輸個人資料或是連結至企業網路之前必須先做好預防措施。(編譯/陳曉莉)

 

熱門新聞

Advertisement