我们已经知道,健身追踪器并不是最安全的日常伴侣。当时,九款健身追踪器接受了数据保护和安全风险检查,没有发现任何追踪器存在缺陷。 Open Effect 与 Citizen Lab 合作重新审视健身追踪器的安全性和数据保护,但结果并不理想。我们研究了八种健身小工具,从经典的小米手环健身手环到 Basis Peak 再到 Apple Watch。其后果是发人深省的,因为从硬件和软件的角度来看,跟踪器都为数据操纵和位置配置文件创建提供了攻击点。
弱点是跟踪器和智能手机之间的蓝牙连接。在某些情况下,设备特定的数据可能会在数据传输或配对尝试期间发送。理论上,这使得为佩戴者创建居留卡成为可能。测试的 8 台设备中有 7 台报告了它们的 MAC 地址。自 4.0 版本以来,蓝牙标准提供了发送随机 MAC 地址的选项,但这也必须由制造商启用。 Apple Watch 是唯一在重启后定期更改 MAC 地址的测试候选者。
健身追踪器通常附带一个好的应用程序。然而,这些并不像用户希望的那样安全。如果智能设备当前未连接,它可能会向 Jawbone 和 Withings 应用程序提供错误条目。对于 Garmin Connect(iOS 和 Android)和 Withings Connect(Android),应用程序中的安全漏洞甚至意味着第三方可以读取和写入您的数据。此外,Garmin Connect 应用程序甚至没有考虑传输数据时所需的最简单的保护措施,从而使传输受到数据监控和篡改。
无论是应用程序还是硬件,这些差距都很糟糕。研究人员提供了一个有趣的例子。如果回访者在访问期间提交其 MAC 地址,购物中心也许能够跟踪他们。然而,当涉及到应用程序操作时,可能会出现更大的问题。健康数据已经被用作法庭证据,但如果它可以被篡改,情况可能会迅速改变。
这样的操作对于保险公司来说也不一定是好消息。健康保险公司希望向那些为健康生活做出贡献的人提供奖金,但如果有人可以秘密获得奖金,整个模式就会崩溃。有趣的是,分发最易受攻击的应用程序的公司没有回应研究人员的建议。
此类设备越普及,安全和隐私问题就越重要。事实上,制造商并不总是从一开始就考虑到这一点,这可以从许多例子中看出,而不仅仅是健身设备。除非设备(尤其是附带的应用程序)变得更加安全,否则请注意,在使用它们时,您可能会暴露出比您意识到的更多的信息。
物联网的其余部分也面临着同样的问题。总会存在未修补的漏洞,从而造成持续的安全风险。从长远来看,这里的解决方案仅在于插座后面,并且通常不需要对设备本身进行更新来填补空白。
有关健身追踪器的完整报告可在此处找到。看看研究人员如何获取跟踪器数据以及他们如何操纵它将会很有趣。
