可穿戴式设备以及依靠应用进行配置的任何设备至少存在三个攻击面,而且用户现有的安全开发生命周期很可能无法应对这种复杂情况。
以上是英特尔公司 Sports Group 的安全研究主管 Kavya Racharla 和 Deep Armor 公司的创始人兼首席执行官 Sumanth Naropanth 在这几天新加坡举行的亚洲黑帽大会上指出的问题。
第一个攻击面:可穿戴式设备开发周期短
这两名研究人员表示,可穿戴式设备一般是匆忙开发而成的,通常从概念到落地的时间是6个月,这样就很少有时间能对所有可能出现的安全问题考虑周全。
可穿戴式设备本身具有可预测的安全要求:他们是具有存储和网连接的计算机。但由于可穿戴式设备面对的是个人用户,因此能够泄露个人数据。 Racharla 表示,研究工作表明可穿戴式设备将用于声音提示的文本以明文形式存储。如果同样的文件还存储用户姓名,那么也是以明文形式存储。
第二个攻击面:和其它应用共享数据
可穿戴式设备通常还会和多款智能应用共享数据,这就让事情变得更加复杂了。可能记录数据的是其中一款应用,控制音乐的又是另外一款,而向应用发送文本信息的又是其它应用。但是研究人员解释称,蓝牙将信号和移动设备上的所有应用共享,导致本来是用于健身追踪的个人信息被泄露给其它应用,或者导致泄露给专门窃取蓝牙内容的恶意软件。这种担忧的假设前提是开发人员在穿戴设备到智能手机的连接中应用了正确的加密并正确地实现蓝牙。如果稍有闪失,那么后果更加严重。
第三个攻击面:云
第三个攻击面是云。很多可穿戴式设备都会在云中存储和分析数据,这样用户就能够获得了解可穿戴式设备的性能。单是像错误配置的 AWS S3 桶这样的简单错误就能够引发问题,而简单的 XSS 攻击能泄露个人数据甚至是识别出个人可穿戴设备。
让情况变得更加复杂的是,Naropanth 表示他了解到的情况是,一款可穿戴式设备已被多家企业重新挂牌但所有的数据都存储在同一个数据库中。在这种情况下,开发人员需要尤其谨慎,用他所举的例子来说,就是要确保耐克的用户和阿迪达斯的用户是分开的。
应对建议以及警告
因此,Racharla和 Naropanth 建议在可穿戴式设备所要求的快速开发周期中引入通用的安全开发生命周期扩展。他们推荐了一种开发方法论,增加安全和隐私生命周期并且创建事件响应计划以应对可穿戴式设备泄露数据的情况。这种响应计划意味着法律团队需要深入参与到可穿戴式设备的产品开发过程中。
研究人员还表示,他们发现的问题并非仅存在可穿戴式设备中:现在很多工业设备都提供和智能手机应用绑定的服务,然后和本地网关或直接和多租户云服务通信。这些设备也具有三个攻击面。正如我们所看到的那样,当 Mirai 僵尸网络出现在视频摄像头中时,攻击者需要做的就是拿着摄像头实施恶意行为。
文章原文链接:https://www.anquanke.com/post/id/102121