研究: 个人健康观测仪信息安全不保

Wearable fitness monitors that can collect enormous amount of personal information -- from heart beat to sleep quality have been used for personal, legal and insurance purposes. But a new research has found key security flaws of devices that may leave them vulnerable to privacy breaches and even data tampering.  

 

 

（大中报泊然报道）虽然个人健康观测仪有助于人们强身健体，但多伦多大学的一项最新研究却显示，相关可穿戴设备有严重安全漏洞。

 

该项由数字研究小组Open Effect和多伦多大学公民实验室公共进行的研究发现，许多深受欢迎的可穿戴设备会泄露个人信息，而这些设备记录的数据也很容易被篡改。

 

个人健康观测仪可以追踪心率和睡眠质量等大量个人信息，并会收集佩戴者的健身数据，以帮助他们实现健康目标。但是，这些观测仪有时候并不仅仅只是用于个人健康数据追踪，一些律师和保险公司也会利用个人健康观测仪记录的数据验证客户的健康状况。

 

在2014年，卡尔加里一家律师事务所就曾使用市场上最受欢迎的可穿戴设备Fitbit证明客户车祸后的活动水平。今年春，美国人寿保险公司John Hancock宣布佩戴个人健康观测仪的客户可以享受打折优惠，因为这些可穿戴设备有助于公司设定更精确的保费费率。

 

但是多伦多大学的研究报告指出，可穿戴设备在收集大量个人健康信息的同时也存在严重安全漏洞，容易导致隐私数据外泄甚至被人篡改。

 

该研究报告作者之一，公民实验室高级研究员Jeffrey Knockel称，虽然可穿戴设备有利于人们强身健体，但它们被用于保险或法律目的时却并非全然有益。

 

Knockel及其同事对目前市面上最受欢迎的一些可穿戴设备进行了安全隐私功能测试，这些设备包括Apple Watch、Basis Peak、Fitbit Charge、Garmin Vivosmart, Jawbone Up、Withings Pulse O2、中国制造的Xiaomi Mi Band 和加拿大制造的Mio Fuse。

 

研究人员在测试后发现，其中仅有配备可随机识别信号的最新蓝牙隐私设置功能的Apple Watch安全隐私测试合格。而其他所有可穿戴设备都是使用固定识别信号，这意味着设备随时都可能被跟踪，从而极易被第三方利用，比如希望追踪客户运动习惯的商家或购物中心。

 

研究人员同时还发现，在所有接受测试的可穿戴设备中，只有Fitbit采用端对端加密设置，从而可以保护数据的流进和流出。如果没有这层保护，一些别有用心的用户便可访问和篡改相关数据。 在此次研究中，研究人员并未对Apple Watch进行端对端加密设置测试。

 

此外，研究人员还发现Garmin Vivosmart甚至都没有对通过网络传输的个人健康数据进行加密，从而导致其用户数据极易被他人篡改或偷窥。

 

据研究报告称，研究人员事后已将他们发现的安全漏洞通知各厂家，但是只有Mio, Fitbit和Basis三家作出回应。

 

Knockel称，随着“物联网”日益盛行，智能汽车和谷歌电视等各种设备都可以通过网络进行互联，而侵犯隐私风险也随之加剧，目前可穿戴设备已经成为市面上最受欢迎的连接设备之一，用户多达数千万人，如果连这些设备都信息安全不保，那又如何能保证智能电视和电器的隐私安全呢？