可穿戴設(shè)備市場迎來了大爆發(fā):從谷歌眼鏡到iWatch,從運動類、醫(yī)療健康類到工業(yè)與軍事類產(chǎn)品,可穿戴設(shè)備涵蓋的范圍越來越廣、實用性越來越強。Juniper報告預(yù)測,2018年全球可穿戴設(shè)備出貨量將達到1.3億臺,這一數(shù)字將是2013年的10倍。但是,在給人們生活帶來便利的同時,這些可穿戴設(shè)備也藏有不少安全隱患,只有給其加上安全的防護盾,才能讓這一市場持續(xù)蓬勃健康發(fā)展。
連接越緊密,安全風(fēng)險越大
2013年7月4日,美國一位名叫Chris Barrett的男子用Google眼鏡在公共場所拍攝了一群人打架后被捕的視頻,并上傳到網(wǎng)絡(luò),短短幾天獲得23萬次的點擊量,而周圍的人根本不知道他在拍攝;Autographer是一款可穿戴相機,它帶有GPS功能,當用戶將這款小型設(shè)備別在衣服上時,便能記錄進入鏡頭的人或物,并自動上傳到設(shè)備制造商的網(wǎng)站;使用Nametag,用戶只需隨便看一眼附近的人,便能夠獲得這個人的名字、職業(yè)等信息……諸如此類可穿戴設(shè)備不勝枚舉,它們能收集個人或者他人的信息以便實現(xiàn)應(yīng)用的特定目的。
在大數(shù)據(jù)時代,用戶個人的身份特征和消費習(xí)慣都變成可以存儲、可以處理、可以深挖及可以整合利用的各種數(shù)據(jù)。可穿戴設(shè)備是加速數(shù)字化的利器,當收集的用戶信息足夠詳細,用戶在現(xiàn)實生活中接近互聯(lián)網(wǎng)上的“裸奔”的隱患也就越大。人們希望設(shè)備能幫助更好地了解自己,就必須更多地暴露自己。哪些數(shù)據(jù)是個人的,哪些數(shù)據(jù)又是可以被機構(gòu)或者公司利用的,兩者之間模糊的界限一直沒有得到清晰的界定。
為此,在技術(shù)上科技公司也采取了一些手段,獲得用戶“授權(quán)”,即讓用戶同意設(shè)備制造商獲取、使用其信息,這是科技公司的慣常做法,只是在程度和范圍上有所差別。比如谷歌眼鏡在錄制或者拍照時,必須通過語音激活,被拍攝的對象也能從屏幕上看到錄制的情況。設(shè)備丟失之后,能夠遠程刪除數(shù)據(jù)也是常見的做法。許多企業(yè)承諾,數(shù)據(jù)在用戶不自己分享的情況下很難被別人拿到,并且承諾產(chǎn)生的數(shù)據(jù)能夠被合法正確利用。但用戶面臨與開發(fā)商、運營商之間信息不對等,數(shù)據(jù)在上傳之后個人很難控制其后續(xù)走向,很多甚至是在用戶毫不知情的情況下進行的,“授權(quán)”在多大程度上能夠起作用,值得商榷。
出于利益最大化考慮,不少公司還將數(shù)據(jù)開放給了第三方公司,比如Fitbit。第三方的加入無疑將隱私保護的鏈條又拉長一環(huán)。谷歌在其《谷歌眼鏡開發(fā)者政策》中聲稱,禁止任何谷歌眼鏡應(yīng)用“使用攝像頭或麥克風(fēng)進行相互參照,并即刻呈現(xiàn)除用戶以外的任何人的個人信息,包括臉部識別及聲音記錄等”。然而自去年4月以來,黑客們一直在試驗谷歌眼鏡的種種未經(jīng)授權(quán)用途??梢姡瑮l款的約束實施起來大打折扣??纱┐髟O(shè)備行業(yè)整體還處在起步階段,技術(shù)標準尚未存在,制定隱私保護的實質(zhì)性措施也會滯后。
值得思考的是,信息技術(shù)時代不斷創(chuàng)新的用來保護個人隱私的手段,也是以獲取更為私密的個人信息為代價的。當企業(yè)需要越來越多的信息以確認屬于本人操作,也就意味著個人所提供的信息越來越多、越來越私人化。當可穿戴設(shè)備將人、事、物與互聯(lián)網(wǎng)連接得越緊密,被泄露、被竊取乃至被利用的風(fēng)險也就越大,個人隱私保護面臨的挑戰(zhàn)也越大。
安裝防護軟件,必須的
1960年,兩位數(shù)學(xué)家共同制造了煙盒大小的可穿戴計算機,這被視為最早的可穿戴設(shè)備。在洛杉磯賭場,他們首次使用它來玩輪盤賭。這個設(shè)備能夠預(yù)測滾球的落點,使得贏錢的幾率增加44%。可穿戴技術(shù)也可能被不法分子利用,由于可穿戴設(shè)備的設(shè)計普遍更貼近人體,如果為他們利用,將會更加隱蔽。在監(jiān)督機制完全缺乏或者還不夠健全的情況下,數(shù)據(jù)被竊取的幾率也增大了。
對于醫(yī)療健康類的可穿戴設(shè)備而言,如果所記錄的信息被竊取、惡意使用,后果將不僅僅是收到騷擾電話,甚至可能是威脅到生命安全。美劇《國土安全》中,男主角將美國副總統(tǒng)心臟起搏器的序列號告訴恐怖分子,直接導(dǎo)致副總統(tǒng)的起搏器錯誤工作?,F(xiàn)實中,23andME能通過記錄用戶的基因信息,分析出遺傳特征和健康狀況。LarkLife智能手環(huán)能通過測量身體活動,給用戶提供營養(yǎng)指導(dǎo)。如果諸如這些數(shù)據(jù)被拿來不當利用,將對用戶健康造成直接威脅。而且當收集到數(shù)據(jù)后,需要通過藍牙等手段進行傳輸,不排除在數(shù)據(jù)傳輸過程中受到攔截和傷害。一位研究人員曾在黑帽安全會議上演示攻擊者如何在半英里外通過控制胰島素泵給使用者輸送潛在致死劑量的胰島素。另一位研究人員也展示了如何利用無線協(xié)議在用戶佩戴的心臟起搏器上做手腳。
安裝防護軟件是必須的,這樣能避免因設(shè)備本身感染惡意軟件而導(dǎo)致數(shù)據(jù)泄露。此外,多模加密技術(shù)、多重驗證是業(yè)界常用的方法。多模加密技術(shù)由對稱加密與非對稱加密算法相結(jié)合,在不同的工作環(huán)境之下,用戶可以有針對性地選擇不同的加密模式。Nymi手鐲的驗證需要獨特的心律、手環(huán)和已注冊的智能手機上的安全應(yīng)用,由于個人心電圖不容易被復(fù)制,大大增強了它的安全性。智能戒指NFCRing,常用于需要非常近的距離來保持安全性的應(yīng)用,指環(huán)到設(shè)備的讀取距離是一毫米,這意味著設(shè)備必須被有效觸碰到,通過遠程控制的風(fēng)險大大降低。蘋果公司正在申請一項技術(shù)專利,將個人的心電數(shù)據(jù)作為手機密碼鎖。
目前來看,對于一些爭議較大的項目,監(jiān)管部門也會出面。比如2013年年底,23andME被美國食品和藥品局責(zé)令停止市場營銷,但監(jiān)管部門的反應(yīng)遠遠跟不上科技發(fā)展的速度。