可穿戴设备市场迎来了大爆发:从谷歌眼镜到iWatch,从运动类、医疗健康类到工业与军事类产品,可穿戴设备涵盖的范围越来越广、实用性越来越强。Juniper报告预测,2018年全球可穿戴设备出货量将达到1.3亿台,这一数字将是2013年的10倍。但是,在给人们生活带来便利的同时,这些可穿戴设备也藏有不少安全隐患,只有给其加上安全的防护盾,才能让这一市场持续蓬勃健康发展。
连接越紧密,安全风险越大
2013年7月4日,美国一位名叫Chris Barrett的男子用Google眼镜在公共场所拍摄了一群人打架后被捕的视频,并上传到网络,短短几天获得23万次的点击量,而周围的人根本不知道他在拍摄;Autographer是一款可穿戴相机,它带有GPS功能,当用户将这款小型设备别在衣服上时,便能记录进入镜头的人或物,并自动上传到设备制造商的网站;使用Nametag,用户只需随便看一眼附近的人,便能够获得这个人的名字、职业等信息……诸如此类可穿戴设备不胜枚举,它们能收集个人或者他人的信息以便实现应用的特定目的。
在大数据时代,用户个人的身份特征和消费习惯都变成可以存储、可以处理、可以深挖及可以整合利用的各种数据。可穿戴设备是加速数字化的利器,当收集的用户信息足够详细,用户在现实生活中接近互联网上的“裸奔”的隐患也就越大。人们希望设备能帮助更好地了解自己,就必须更多地暴露自己。哪些数据是个人的,哪些数据又是可以被机构或者公司利用的,两者之间模糊的界限一直没有得到清晰的界定。
为此,在技术上科技公司也采取了一些手段,获得用户“授权”,即让用户同意设备制造商获取、使用其信息,这是科技公司的惯常做法,只是在程度和范围上有所差别。比如谷歌眼镜在录制或者拍照时,必须通过语音激活,被拍摄的对象也能从屏幕上看到录制的情况。设备丢失之后,能够远程删除数据也是常见的做法。许多企业承诺,数据在用户不自己分享的情况下很难被别人拿到,并且承诺产生的数据能够被合法正确利用。但用户面临与开发商、运营商之间信息不对等,数据在上传之后个人很难控制其后续走向,很多甚至是在用户毫不知情的情况下进行的,“授权”在多大程度上能够起作用,值得商榷。
出于利益最大化考虑,不少公司还将数据开放给了第三方公司,比如Fitbit。第三方的加入无疑将隐私保护的链条又拉长一环。谷歌在其《谷歌眼镜开发者政策》中声称,禁止任何谷歌眼镜应用“使用摄像头或麦克风进行相互参照,并即刻呈现除用户以外的任何人的个人信息,包括脸部识别及声音记录等”。然而自去年4月以来,黑客们一直在试验谷歌眼镜的种种未经授权用途。可见,条款的约束实施起来大打折扣。可穿戴设备行业整体还处在起步阶段,技术标准尚未存在,制定隐私保护的实质性措施也会滞后。
值得思考的是,信息技术时代不断创新的用来保护个人隐私的手段,也是以获取更为私密的个人信息为代价的。当企业需要越来越多的信息以确认属于本人操作,也就意味着个人所提供的信息越来越多、越来越私人化。当可穿戴设备将人、事、物与互联网连接得越紧密,被泄露、被窃取乃至被利用的风险也就越大,个人隐私保护面临的挑战也越大。
安装防护软件,必须的
1960年,两位数学家共同制造了烟盒大小的可穿戴计算机,这被视为最早的可穿戴设备。在洛杉矶赌场,他们首次使用它来玩轮盘赌。这个设备能够预测滚球的落点,使得赢钱的几率增加44%。可穿戴技术也可能被不法分子利用,由于可穿戴设备的设计普遍更贴近人体,如果为他们利用,将会更加隐蔽。在监督机制完全缺乏或者还不够健全的情况下,数据被窃取的几率也增大了。
对于医疗健康类的可穿戴设备而言,如果所记录的信息被窃取、恶意使用,后果将不仅仅是收到骚扰电话,甚至可能是威胁到生命安全。美剧《国土安全》中,男主角将美国副总统心脏起搏器的序列号告诉恐怖分子,直接导致副总统的起搏器错误工作。现实中,23andME能通过记录用户的基因信息,分析出遗传特征和健康状况。LarkLife智能手环能通过测量身体活动,给用户提供营养指导。如果诸如这些数据被拿来不当利用,将对用户健康造成直接威胁。而且当收集到数据后,需要通过蓝牙等手段进行传输,不排除在数据传输过程中受到拦截和伤害。一位研究人员曾在黑帽安全会议上演示攻击者如何在半英里外通过控制胰岛素泵给使用者输送潜在致死剂量的胰岛素。另一位研究人员也展示了如何利用无线协议在用户佩戴的心脏起搏器上做手脚。
安装防护软件是必须的,这样能避免因设备本身感染恶意软件而导致数据泄露。此外,多模加密技术、多重验证是业界常用的方法。多模加密技术由对称加密与非对称加密算法相结合,在不同的工作环境之下,用户可以有针对性地选择不同的加密模式。Nymi手镯的验证需要独特的心律、手环和已注册的智能手机上的安全应用,由于个人心电图不容易被复制,大大增强了它的安全性。智能戒指NFCRing,常用于需要非常近的距离来保持安全性的应用,指环到设备的读取距离是一毫米,这意味着设备必须被有效触碰到,通过远程控制的风险大大降低。苹果公司正在申请一项技术专利,将个人的心电数据作为手机密码锁。
目前来看,对于一些争议较大的项目,监管部门也会出面。比如2013年年底,23andME被美国食品和药品局责令停止市场营销,但监管部门的反应远远跟不上科技发展的速度。