小米手環、Fitbit、Jawbone、Garmin、Basis、Mio、Withings……是的,它們都在光明正大地收集你的用戶信息(身份數據和健康數據),並在光明正大地洩露這些數據。
英國每日郵報報道稱,來自非營利組織Open Effect和多倫多大學的一項研究表明,上述7款主流運動手環會通過藍牙連接洩露用戶數據,即使將配對手機上的藍牙功能關閉也無濟於事。但研究人員稱,Apple Watch並不存在這一問題(否則蘋果股價又要跌三跌了)。
當前的智能手環都是通過藍牙跟手機配對,然後需要用戶在使用這些設備前註冊,涉及到用戶的年齡、身高、體重、性別等信息,尤其用戶登錄需要手機號碼或郵箱,配對後,智能手環將會通過APP將收集到的用戶運動步數、里程、卡路里消耗、心率、睡眠數據等跟APP進行同步……哦,還包括你上傳的個人頭像。
這給了黑客輕鬆入侵、竊取用戶數據的機會。
研究人員安德魯·希爾茨(Andrew Hilts)表示:「這些運動追蹤設備有保留設備標識符,在關閉手機藍牙連接後,你的手環仍在廣播獨立標識符。」
希爾茨還表示:「業內已經制定了藍牙隱私標準,明確說明設備廠商應如何保護用戶隱私。我們正鼓勵手環廠商接受這一標準。」Fitbit、Basis和Mio已對此進行回應,願意就隱私保護和信息安全問題展開對話,Fitbit已表態願意支持藍牙隱私標準。
其實這並不是智能手環首次被暴露存在洩露用戶隱私的風險。
早在2014年7月份,美國賽門鐵克公司就在一份研究報告中稱,可穿戴設備及其對應的APP存在用戶隱私危險,即它們很容易將收集到的用戶數據洩露出來,而藍牙是分享位置信息的罪魁禍首。
2015年4月,卡巴斯基實驗室高級惡意軟件分析師Roman Unuchek在對多款常見智能手環同智能手機之間的互動進行檢測後發現,這些智能手環所使用的驗證手段均允許第三方隱身連接至這些可穿戴設備,並執行命令,甚至第三方應用還能通過APP入口獲取使用者在過去幾個小時中行走距離等個人數據。
造成這一問題的根源,卡巴斯基與Open Effect和賽門鐵克的研究基本一致,即問題出現在智能手環的配方方式上——通過藍牙進行配對。Roman Unuchek表示:「攻擊者可以利用設備開發者留下的安全漏洞進行攻擊。目前的健身追蹤器功能相對較少,僅能夠計算使用者所走的步數,跟蹤用戶的睡眠周期等。但是這些智能手環的最新產品往往會添加更多功能,將能夠收集更多關於用戶的信息。所以,思考這些設備的安全性非常重要。我們需要確保追蹤器設備同智能手機之間的互動得到適當的安全保護。」
據悉,黑客只需要在運行Android 4.3或更高版本的Android手機上安裝一款特殊的未授權應用,就可以同特定廠商生產的智能手環進行配對。用戶僅需按下智能手環上的一個按鈕,對配對進行確認,即可建立連接,當手環震動,提示用戶對配對進行確認時,用戶往往無法知曉所連接的設備究竟是自己的,還是他人的設備,此時就很容易中招。
在我此前對數十款智能手環進行體驗和測試時,我就不止一次的質疑,用戶如何保護自己日常佩戴刷出來的各項運動和健康數據不被竊取。
比如,現在越來越多的智能手環具備來信、短訊、微信和QQ等提醒功能,如果有一天你接到一個莫名其妙的電話進行詐騙或者讓你去醫院,你的心理陰影面積得多大?當你的心率數據被洩露後,是否會被賣給醫療保險公司或者醫院進行非法研究呢?你的各項運動數據會不會被賣給一些大數據公司呢?以及,如果你的微信、QQ被盜了可能不是因為手機安全漏洞,而是通過智能手環洩露的。
危害遠遠不止上述的這麼輕鬆愜意,很有可能被用於很多犯罪,比如當用戶收集到你早晚運動最頻繁的地理位置和時間段時,很有可能對你打劫或者潛入你的住宅行竊,還有可能根據你的睡眠時段在你睡着的時候潛入……後果不敢深入想像。
上述隱患也讓很多消費者、尤其是對個人隱私非常敏感的用戶天然地排斥包括智能手環和智能手錶在內的運動健康追蹤設備。而廠商極需解決的是,加強對用戶隱私的保護,並提升運動追蹤APP的安全級別。
當然需要說明的是,開篇7款手環僅僅是最具有代表性的、知名度較高的智能手環,而國內很多山寨智能手環在隱私安全方面表現可能更加糟糕,具體就不一一列舉了,大家只需要去天貓、淘寶、京東等電商平台搜智能手環就可以搜到上百款你聽說過和沒聽說過的品牌名,並且長相都極其雷同。
補充說明,當我就這一問題向Fitbit中國區負責人和小米手環製造商華米科技的相關負責人進行求證時,Fitbit中國區負責人表示並不知情,而華米科技則截止發稿仍未回應。
注:本文部門內容參考了驅動之家和雷鋒網此前的相關報道。
知道嗎?小米和Fitbit等智能手環無時無刻都在洩露用戶隱私!