-
-
研究发现健身追踪设备或泄露数据
-
发表于: 2016-2-8 12:22
-
新闻链接:http://www.seehand.com/news/1335.html
新闻时间:2016.02.05
新闻正文:研究发现健身追踪设备或泄露数据
某些较为流行的运动可穿戴设备不只是让你自己追踪健身数据,却同时也让其他人也“追踪”你的数据。
这就是加拿大的研究人员在研究健身追踪设备时所发现的,他们研究了8个厂商的设备以及它们各自配套的APP。
研究所涉及的所有设备(除了Apple Watch)均传输一种永久且唯一的蓝牙(Bluetooth)标识符,使得它们能够被信标所追踪,现在有越来越多的零售商店和商场使用信标识别并规划自己的消费者。
披露的设备包括Basis Peak、Fitbit Charge HR、Garmin Vivosmart、Jawbone Up 2、Mio Fuse、Withings Pulse O2和小米手环,研究人员称,所有设备因使用蓝牙,即使在设备未配对或连接至智能手机时,也可能使穿戴者遭到追踪。仅苹果设备使用Bluetooth LE标准,生成变化的MAC地址以防止追踪。
此外,各可穿戴设备配套的APP或通过各种各样的方式泄露登录认证信息,将活动追踪信息以一定的方式传输,使得拦截或干预成为可能,或者能让用户提交虚假的活动追踪信息,该报告的早期稿件《每步都在做假:健身追踪设备隐私与安全的比较分析》如是写道。该报告是由加拿大的非营利组织Open Effect发布,研究得到了多伦多大学蒙克全球事务学院的Citizen Lab的协助。
这些APP一般被用于从健身追踪设备中收集数据,并将数据上传至集中的服务器,而在服务器中,用户可以分析自己的表现,而且还有可能将其与其他设备穿戴者进行比较。
研究人员通过实施中间人攻击,能够监测到所有APP与服务器之间的流量,除了2.0版本的Apple Watch和英特尔的1.14.0版本的Basis Peak。对于其他6个APP,研究人员能够观察到数据,甚至通过HTTPS传输的数据。
苹果和英特尔使用一种称为证书锁定(certificate pinning)的技术,能够避免被研究人员提供的伪安全证书所欺骗。英特尔至少在2014年起,即它发布《保卫2025年数字化美国的未来》一直在强调安全性差的可穿戴设备的风险。
加拿大的研究人员分析了他们监测到的流量,并确认,Garmin的APP仅在注册和登录时使用HTTPS,而其他时候用明文发送,因此第三方有可能读取、写入或者删除。
Jawbone和Withings APP的用户或可伪造自己的健身记录,或许允许他们删除生病的证据或者伪造运动经历。这对医疗承保人非常不利,有些保险公司已经开始使用健身追踪数据从而提供较低的保险费率,而法院也在许多案件中将这些数据认定为证据。
作者仍在研究他们报告中政策影响的部分,但发现安全漏洞的影响取决于健康追踪设备使用的管辖地。研究人员称,尽管在美国追踪设备未被认作是医学设备从而可规避美国隐私法律中绝大多数最严的部分,但它们所生成的数据在欧洲数据保护法下属于个人数据,因此在欧洲应当得到保护。
新闻时间:2016.02.05
新闻正文:研究发现健身追踪设备或泄露数据
某些较为流行的运动可穿戴设备不只是让你自己追踪健身数据,却同时也让其他人也“追踪”你的数据。
这就是加拿大的研究人员在研究健身追踪设备时所发现的,他们研究了8个厂商的设备以及它们各自配套的APP。
研究所涉及的所有设备(除了Apple Watch)均传输一种永久且唯一的蓝牙(Bluetooth)标识符,使得它们能够被信标所追踪,现在有越来越多的零售商店和商场使用信标识别并规划自己的消费者。
披露的设备包括Basis Peak、Fitbit Charge HR、Garmin Vivosmart、Jawbone Up 2、Mio Fuse、Withings Pulse O2和小米手环,研究人员称,所有设备因使用蓝牙,即使在设备未配对或连接至智能手机时,也可能使穿戴者遭到追踪。仅苹果设备使用Bluetooth LE标准,生成变化的MAC地址以防止追踪。
此外,各可穿戴设备配套的APP或通过各种各样的方式泄露登录认证信息,将活动追踪信息以一定的方式传输,使得拦截或干预成为可能,或者能让用户提交虚假的活动追踪信息,该报告的早期稿件《每步都在做假:健身追踪设备隐私与安全的比较分析》如是写道。该报告是由加拿大的非营利组织Open Effect发布,研究得到了多伦多大学蒙克全球事务学院的Citizen Lab的协助。
这些APP一般被用于从健身追踪设备中收集数据,并将数据上传至集中的服务器,而在服务器中,用户可以分析自己的表现,而且还有可能将其与其他设备穿戴者进行比较。
研究人员通过实施中间人攻击,能够监测到所有APP与服务器之间的流量,除了2.0版本的Apple Watch和英特尔的1.14.0版本的Basis Peak。对于其他6个APP,研究人员能够观察到数据,甚至通过HTTPS传输的数据。
苹果和英特尔使用一种称为证书锁定(certificate pinning)的技术,能够避免被研究人员提供的伪安全证书所欺骗。英特尔至少在2014年起,即它发布《保卫2025年数字化美国的未来》一直在强调安全性差的可穿戴设备的风险。
加拿大的研究人员分析了他们监测到的流量,并确认,Garmin的APP仅在注册和登录时使用HTTPS,而其他时候用明文发送,因此第三方有可能读取、写入或者删除。
Jawbone和Withings APP的用户或可伪造自己的健身记录,或许允许他们删除生病的证据或者伪造运动经历。这对医疗承保人非常不利,有些保险公司已经开始使用健身追踪数据从而提供较低的保险费率,而法院也在许多案件中将这些数据认定为证据。
作者仍在研究他们报告中政策影响的部分,但发现安全漏洞的影响取决于健康追踪设备使用的管辖地。研究人员称,尽管在美国追踪设备未被认作是医学设备从而可规避美国隐私法律中绝大多数最严的部分,但它们所生成的数据在欧洲数据保护法下属于个人数据,因此在欧洲应当得到保护。
|
|
|---|---|
