可穿戴设备可能存在严重的网络安全隐患

（文章来源：万物互联IOE）

可穿戴设备并没有智能手机那么普遍——至少现在还没有。IDC预测，从现在到2019年，可穿戴设备市场的年增长率将达到45%。目前，健身腕带是最受欢迎的可穿戴设备，但智能手表和其他技术预计将在未来几年有所增长。我们可以期待可穿戴设备在医疗保健和运动训练中扮演重要角色。在业务设置中，可穿戴设备可用于身份验证目的，或用于协助不同的实际操作或基于机器的任务，包括与计算机和其他智能设备的接口。

可穿戴设备通常需要与智能手机、平板电脑或电脑相连。因此，它们将通过USB接口连接到公司的笔记本电脑或台式机上，就像你现在的手机一样，因此可能会向公司的系统中引入病毒或恶意软件。根据INSIDE Secure的安全专家的说法，这是通过员工手腕或头饰进入公司网络的后门。这让黑客有机会下载私人企业信息，远程控制可穿戴设备，或允许未经授权的人员进入实体位置。

当涉及到企业间谍活动时，可穿戴设备可能会改变内部威胁的动态。可穿戴设备上的摄像头和麦克风可用于记录私人谈话或涉及知识产权讨论的会议，拍摄机密文件或新产品原型，或在线共享信息。是的，所有这一切都可以用智能手机完成，但可穿戴设备要谨慎得多。如果有人把智能手机放在桌子上并把它设为世界纪录，而不是把智能手表藏在衬衫袖子里，会有人注意到的。

NTT通信安全公司威胁和漏洞分析主管克里斯卡梅约(Chris Camejo)表示，如果安装了恶意软件，黑客就可以利用摄像头和麦克风做任何内部人士能做的事情。我们已经在智能手机恶意软件包中看到了这种录音功能，当这种恶意软件开始在野外出现时，我们可以毫不夸张地想象它会被整合到可穿戴设备的恶意软件中。

Arxan Technologies的首席技术官萨姆拉赫曼(Sam Rehman)表示，尤其重要的是，企业必须只允许使用具有强化应用程序代码和先进关键保护措施的可穿戴设备。这对于防止应用程序代码的逆向工程和篡改非常重要。如果没有这种保护，可穿戴设备上的应用程序可以很容易地被操纵，从而监视企业、窃取企业敏感数据，以及做其他邪恶的事情。

卡梅约说，可穿戴设备还能了解储存在智能手机上的大部分信息，而这些信息通常与公司电子邮件和其他敏感系统相连。这些设备因此目前所有相同的数据丢失的风险,智能手机已经提出,包括添加另一个向量为恶意软件进入网络,允许攻击者截获两因素身份验证代码金融欺诈的目的,和普通网络监视的所有敏感的通信通过电子邮件发生。

许多BYOD策略还不包括可穿戴设备。这意味着这些设备无法像智能手机、平板电脑或笔记本电脑那样管理和监控。正如Cigital的高级首席顾问阿米特塞蒂(Amit Sethi)所指出的那样，如果没有针对可穿戴设备的某种政策，IT团队可能无法控制用户是否在可穿戴设备上启用了任何类型的认证或其他安全功能。此外，如果设备丢失或被盗，它通常无法远程删除缓存在设备上的任何敏感数据。

这些设备上有限的用户界面使得在其上运行的应用程序中添加安全特性变得很有挑战性。Sethi提出了这样一个问题:如果您正在为可穿戴设备开发企业应用程序，并且希望在允许用户做一些敏感的事情之前对用户进行身份验证，那么如何在不让身份验证成为麻烦的情况下做到这一点呢?可用性通常胜过安全性。在可穿戴设备上运行的应用程序中添加安全功能，可能会使用户使用该应用程序比简单地掏出智能手机更困难。

Sethi说，可穿戴设备通常有小电池、有限的内存和其他一些限制。每当我们有受限的环境中,我们看到一个缺乏平台的保护,可能是昂贵的在资源使用方面,和弱和专有加密协议,因为强大的标准协议太缓慢,等等。可穿戴设备被处理的数据通常是风险结果——当它在智能手机和可穿戴设备之间的交通,和缓存时可穿戴设备。

Accellion公司的安全专家Paula Skokowski表示，可穿戴设备和配对智能手机之间的蓝牙和Wi-Fi通信是一个非常脆弱的领域。尽管无线连接得到了改善，但黑客们总是想出新的方法来侵入和拦截数据。由于缺乏内置的PIN保护或安全指纹，黑客通过不断的尝试和错误，有机会尝试各种用户名和密码组合，直到破解密码并能够访问存储在设备上的内容。

例如，在涉及健康相关数据时，可穿戴设备可能不符合法规。现在许多公司都转向这套追踪健身输出或监控整体健康(如要求使用心脏监视功能的健身追踪)和保险公司分享,需要解决的问题是数据传输是否遵循HIPAA法规遵循法律。在使用智能设备和支付系统方面也可以提出类似的问题。此外，大多数传输的数据都没有加密，您的公司可能会看到严重的遵从性故障。