惠普的這項研究對智能手表是否能夠如設(shè)計的那樣存儲和保護(hù)敏感數(shù)據(jù)和任務(wù)進(jìn)行了深入探討。惠普用HP Fortify on Demand評估了10款智能手表以及它們的安卓和iOS云和移動應(yīng)用組件，發(fā)現(xiàn)了許多安全隱患。

這項研究發(fā)現(xiàn)的最常見且很容易解決的安全問題包括：

•不充足的用戶身份驗證/授權(quán)：每個被測智能手表均采用移動界面，缺乏二元身份驗證以及在3-5次密碼嘗試失敗后鎖定賬號的能力。30%的被測智能手表很容易被盜號（密碼保護(hù)政策太弱、缺乏賬號鎖定和用戶枚舉），這意味著攻擊者可以獲得訪問設(shè)備和數(shù)據(jù)的權(quán)限。

       •缺乏傳輸加密：鑒于個人信息被傳輸?shù)皆浦械亩鄠€地點，傳輸加密至關(guān)重要。雖然所有被測產(chǎn)品均采用了SSL/TLS傳輸加密，但40%的云連接很容易受到POODLE攻擊，允許使用弱密碼或仍舊使用SSL v2。

       •不安全的界面：30%的被測智能手表采用了基于云的Web界面，所有這些界面都存在賬號枚舉問題。在一項單獨的測試中，30%也存在移動應(yīng)用的賬號枚舉問題。這個漏洞讓黑客可以通過從重置密碼機(jī)制收到的反饋而發(fā)現(xiàn)有效的用戶賬號。

       •不安全的軟件/固件：70%的智能手表存在固件更新保護(hù)問題，包括不加密地傳輸固件更新并且也不加密更新文件。然而，很多更新旨在幫助防止安裝被感染的固件。雖然惡意更新不能被安裝，但缺乏加密會允許文件被下載和分析。

       •隱私保護(hù)問題：所有智能手機(jī)都收集了某些形式的個人信息，例如姓名、地址、生日、體重、性別、心率和其它健康信息。鑒于某些產(chǎn)品存在賬號枚舉和使用弱密碼(容易被破譯的密碼) 的問題，這些個人信息就存在泄漏的風(fēng)險。

盡管一方面制造商努力在智能手表中融入必要的安全措施，但另一方面，對于消費(fèi)者而言，在選擇使用智能手表時需要考慮安全問題。除非具有強(qiáng)大的授權(quán)功能，否則建議用戶不要啟用敏感的訪問控制功能，例如打開車門或家門。此外，啟用密碼功能、確保使用強(qiáng)密碼和二元身份驗證將有助于防止未經(jīng)授權(quán)的數(shù)據(jù)訪問。這些安全措施對于保護(hù)個人數(shù)據(jù)很重要，在智能手機(jī)進(jìn)入工作場所并接入公司網(wǎng)絡(luò)時則更加關(guān)鍵。完整版的報告中還提供了有關(guān)安全地使用智能手表的其它指南。

欲了解更多信息，請訪問這個物聯(lián)網(wǎng)系列中的第一份報告《2014年惠普物聯(lián)網(wǎng)調(diào)查》，其中調(diào)查了10個最常見物聯(lián)網(wǎng)設(shè)備的安全狀況。此外，《2015年惠普家庭安全系統(tǒng)報告》調(diào)查了10大最常見的聯(lián)網(wǎng)家用安全系統(tǒng)。

HP Fortify利用HP Fortify on Demand測試方法進(jìn)行了惠普智能手表安全調(diào)查，結(jié)合使用了手動測試以及自動化工具。設(shè)備及其組件根據(jù)OWASP物聯(lián)網(wǎng)十大安全風(fēng)險以及與10大類別相關(guān)的具體漏洞進(jìn)行了評估。

本調(diào)查中的所有數(shù)據(jù)和百分比均來自被測的10款智能手表。雖然市面上存在相當(dāng)多的智能手表設(shè)備并且還在繼續(xù)增加，惠普認(rèn)為這10款智能手表存在的相似情況很好地體現(xiàn)了智能手表設(shè)備目前整體的安全狀況。

xiesc