小米手环、Fitbit、Jawbone、Garmin、Basis、Mio、Withings……是的,它们都在光明正大地收集你的用户信息(身份/身体数据和健康数据),并正在光明正大地泄露这些数据。
北京时间2月3日,英国每日邮报报道称,来自非营利组织Open Effect和多伦多大学的一项最新研究表明,上述7款主流智能手环会通过蓝牙连接泄露用户数据,即使将配对手机上的蓝牙功能关闭也无济于事。但研究人员称,Apple Watch并不存在这一问题(否则苹果股价又要跌三跌了,同时,严格来说这样的对比对上述智能手环并不公平,因为Apple Watch属于智能手表的范畴,自带操作系统,并且苹果是最注重用户隐私安全的科技公司之一)。
当前的智能手环都是通过蓝牙跟手机配对,然后需要用户在使用这些设备前进行注册,涉及到用户的年龄、身高、体重、性别等信息,尤其用户登录需要手机号码或邮箱。配对后,智能手环会将收集到的运动步数、里程、卡路里消耗、心率、睡眠数据等跟APP进行同步……哦,还包括你上传的个人头像。
这给了黑客轻松入侵、窃取用户数据的机会,等于你每天戴着智能手环给黑客免费打工。
研究人员安德鲁·希尔茨(Andrew Hilts)表示:“这些运动追踪设备有保留设备标识符,在关闭手机蓝牙连接后,你的手环仍在广播独立标识符。”
他还表示:“业内已经制定了蓝牙隐私标准,明确说明设备厂商应如何保护用户隐私。我们正鼓励手环厂商接受这一标准。”Fitbit、Basis和Mio已对此进行回应,表示愿意就隐私保护和信息安全问题展开对话,Fitbit已表态愿意支持蓝牙隐私标准。
其实这并不是智能手环首次被暴出存在泄露用户隐私的风险。
早在2014年7月份,美国赛门铁克公司就在一份研究报告中称,可穿戴设备及其对应的APP存在用户隐私危险,即它们很容易将收集到的用户数据泄露出来,而蓝牙是分享位置信息的罪魁祸首。
2015年4月,卡巴斯基实验室高级恶意软件分析师Roman Unuchek在对多款常见智能手环同智能手机之间的互动进行检测后发现,这些智能手环所使用的验证手段均允许第三方隐身连接至这些可穿戴设备,并执行命令,甚至第三方还能通过APP入口获取使用者在过去几个小时中行走的距离等个人数据。
造成这一问题的根源,卡巴斯基与Open Effect和赛门铁克的研究基本一致,即问题出在智能手环的配对方式上——通过蓝牙进行配对。
Roman Unuchek表示:“攻击者可以利用设备开发者留下的安全漏洞进行攻击。目前的健身追踪器功能相对较少,仅能够计算使用者所走的步数,跟踪用户的睡眠周期等。但是这些智能手环的最新产品往往会添加更多功能,将能够收集更多用户信息。所以,思考这些设备的安全性非常重要。我们需要确保追踪器设备同智能手机之间的互动得到适当的安全保护。”
据悉,黑客只需要在运行Android4.3或更高版本的Android手机上安装一款特殊的未授权应用,就可以同特定品牌的智能手环进行配对。用户仅需按下智能手环上的一个按钮,对配对进行确认即可建立连接,当手环震动,提示用户对配对进行确认时,用户往往无法知晓所连接的设备究竟是不是自己的,此时就很容易中招。
在我此前对数十款智能手环进行体验和测试时,就不止一次提出质疑:用户如何保护自己的各项运动和健康数据不被窃取。比如,现在越来越多的智能手环具备来电、短信、微信和QQ提醒等功能,如果有一天你接到一个莫名其妙的电话进行诈骗或者让你去医院,求问你的心理阴影面积得多大?当你的心率数据泄露后,是否会被卖给医疗保险公司或者医院进行非法研究呢?你的各项运动数据会不会被卖给一些大数据公司呢?如果你的微信、QQ被盗了,会不会是通过智能手环泄露的呢……
危害远远不止上述的这么轻松惬意,很有可能被用于犯罪,比如当黑客/罪犯收集到你早晚运动最频繁的地理位置和时段时,很有可能对你半路打劫或趁你在外时潜入住宅行窃,还有可能根据你的睡眠时段在你睡着的时候潜入……后果不敢深入想象。
上述隐患也让很多消费者、尤其是对个人隐私非常敏感的用户天然地排斥包括智能手环和智能手表在内的运动健康追踪设备。而厂商亟需解决的是,加强对用户隐私的保护,并提升运动追踪APP的安全级别。
需要说明的是,开篇7款手环仅仅是最具有代表性的、知名度较高的智能手环,而国内很多山寨智能手环在隐私安全方面的表现可能更加糟糕,具体就不一一列举了,大家只需要去天猫、淘宝、京东等电商平台搜“智能手环”就可以搜到上百款你听说过和没听说过的品牌,并且长相都极其雷同。
补充说明,当我就这一问题向Fitbit中国区负责人和小米手环制造商华米科技的相关负责人进行求证时,Fitbit中国区负责人表示并不知情,而华米科技则截止发稿仍未回应。