据科技网站PCWorld报道,部分健身可穿戴设备不仅使用户能追踪自己的健身活动,还可能使用户被其他人“跟踪”。这是加拿大研究人员对8家厂商的健身追踪设备和配套应用进行研究后得出的结论。除Apple Watch外,其他设备都传输一个具有永久性、唯一性的蓝牙标识符,使它们能被商场中的信标追踪,商场可以借此识别用户、收集用户信息。
健身追踪器
研究人员表示,即使不与智能手机连接,Basis Peak、Fitbit Charge HR、Garmin Vivosmart、Jawbone Up 2、Mio Fuse、Withings Pulse O2和小米手环也可能使用户被跟踪,只有Apple Watch利用蓝牙LE标准的一项特性能生成不断变化的MAC(媒体访问控制)地址,防止用户被跟踪。
报告称,另外,这些可穿戴设备的配套应用也会不同程度地泄露登录信息,以不安全的方式传输活动追踪信息,或允许用户提交虚假活动追踪信息。报告是由加拿大非盈利机构Open Effect发表的。
配套应用能从健身追踪设备收集数据,并上传到中央服务器,用户可以分析自己的表现,并与其他用户进行比较。
除苹果Watch OS 2.1和英特尔Basis Peak 1.14.0外,研究人员能通过“中间人攻击”方式截获其他应用和服务器之间传输的数据,查看通过HTTPS协议传输的数据,甚至对数据加密。
苹果和英特尔利用被称作“证书锁定”的技术,使应用不会被研究人员提供的虚假安全信息所欺骗。至少自2014年以来,英特尔一直在强调可穿戴设备不安全带来的风险。
研究人员分析了他们截获的数据,发现Garmin应用只在注册和登录过程中使用HTTPS协议,其他数据则采用明码传输,因此第三方能对数据进行读、写、删除操作。
Jawbone和Withings应用用户可以篡改健身数据,使他们能删除疾病的证据或篡改体育活动成绩。这对医疗保险公司和法院来说是个坏消息,因为医疗保险公司在决定用户保费时开始参考健身追踪器数据,法院在许多案件中采用健身追踪器数据作为证据。
研究人员称,虽然健身追踪器不被认为是医疗设备,从而避开了美国隐私法律法规中最严格的条款,但根据欧盟数据保护法律,它们生成的数据被认为是个人信息,应当受到保护。
|