数据安全:影响可穿戴技术发展的下一个瓶颈
人们通常认为可穿戴技术包括集成计算机或其它电子元件的服装和配饰,不同于可植入技术(例如,心脏起搏器、胰岛素泵和仿生眼)。第一个可穿戴电子设备也许是在1970年代开发的计算器手表。到了1990年代,人们把焦点转移到可穿戴计算机。虽然大量的设备被开发出来,但是几乎没有一个能够在商业市场上获得成功。当时,可用的技术还不能实现开发人员的构想。与今天相比,当时的计算机处理器耗能大,处理速度也相对较慢,显示屏的分辨率低,电池外形大寿命短。
然而,在最近发表的一系列报告里,市场调研机构Juniper Research预测,可穿戴设备市场将在2014年超过15亿美元。全球信息公司IHS预计可穿戴设备未来两年的使用量会从1400万上升到2亿。而咨询公司ABI Research估计,到了2018年数字不仅翻两倍,还会高达4.85亿。使用的可穿戴技术涉及医疗、军事应用和一般消费品市场。后者包括身体活动和心率监测器、智能手表、远程控制和隐形眼镜上的增强显示。
目前,大多数可穿戴设备都是运动和活动追踪器。例如,安装在泳镜中的心率监测器Instabeat,防水,可测量游泳者的脉搏。又如FitBit Flex,可测量走过的步数、行走距离以及每天的卡路里消耗量。而LarkLife智能手环也测量身体活动,配对的智能手机应用还能够记录下吃了什么东西,并给用户提供营养指导。LarkLife还能充当一个沉默的闹钟通过震动模式叫醒用户。
电子元件的小型化正在快速推进。摩托罗拉最近提交了一份纹身技术专利申请,这项技术的设备可以充当智能手机的麦克风。这个纹身配备了微处理器和电池,可以放置在喉咙上。它可以无线连接手机、计算机或游戏设备。摩托罗拉还有一款类似的纹身设备,但这款设备可移动,放置的地方是手臂或手腕。摩托罗拉已经证明这款设备可用作手机和平板电脑的身份验证设备。
可穿戴技术也已成为人类和他们想要控制的机器之间的纽带。例如,比利时创业公司Thalmic Labs 介绍的MYO Armband体感臂带能够检测肌肉活动和运动。一旦通过蓝牙4.0低功耗技术和设备配对,它就能够用来控制多种设备,从屏幕演示到游戏再到计算机。
Babak Parviz教授2011年在西雅图华盛顿大学做了一个工作报道。Parviz教授研究的是能够投射电子邮件或通过计算机绘图扩大视野的隐形眼镜。从那时起,他加入了谷歌并开发众所周知的谷歌眼镜。谷歌眼镜是连接网络的智能眼镜,可以拍摄静态图片、录像、录音、给穿戴者投射电子邮件。但是,谷歌眼镜录像和录音的执行过程可能只有用户知道,旁人很难意识到穿戴者是否在录像或录音。由于使用谷歌眼镜记录的数据储存在用户的Google+账户里,这些数据在未来的任何时候都是可用的、可搜索的。没有密码或PIN(目前的谷歌原型产品还没有),理论上可能会有入侵者连接到这款设备并下载用户的个人信息。
所有值得拥有的技术是需要权衡的。在可穿戴设备的案例上,便捷性和移动性可能会带来安全性的缺失。许多可穿戴设备可以通过Wi-Fi接入点连接到互联网,这就有可能导致个人信息被盗,包括个人识别号码(PIN)和密码。例如,戴着智能眼镜在自动柜员机上进行交易,如果信息流没有加密好,PIN能够被他人捕捉到。类似地,戴着智能眼镜操作个人电脑可能更容易出问题,因为访问银行账户或者网上购物可能导致用户身份、账号和密码被盗。
可穿戴技术也可能成为企业和外国政府间谍的福利,允许黑客查看电脑屏幕和进入私人会议。工作场所里的BYOD(bring your own device,自带设备)趋势只会加剧问题。因为企业IT部门的监督机制可能还不健全或者完全缺乏。这意味着组织机构必须积极采取措施防止入侵。还有,如果许多人把他们的个人可穿戴设备带到工作环境,而且没有相关计划处理网络上不断增加的数据,那个地方的无线网络可能会超负荷。另外,电脑病毒和其它类型的恶意软件也会带来危害,它们可以在可穿戴设备、笔记本电脑、平板电脑、台式机和任何通过Wi-Fi连接到公司网络的其他设备之间传播。意识到可穿戴设备带来的安全风险,人们可能会限制可穿戴设备在特定的环境中使用。情况很可能是,使用敏感或机密数据的组织机构可能会完全禁止谷歌眼镜这样的可穿戴设备的使用。一些联邦实验室多年来禁止参观者携带任何电子设备入内。
众所周知的是,联邦政府有能力监测许多类型的电子通讯设备。在某些情况下,可穿戴设备的数据流也可能受到政府的监控。2013年11月美国联邦贸易委员会(Federal Trade Commission)举办的一次会议上,与会者讨论了可穿戴设备生成数据的所有权的相关问题:这些数据存储在哪?是否有足够的安全措施来确保用户的身份信息不会被恶意使用。
从积极的一面来看,合理使用可穿戴技术也可以带来安全访问受控环境和设备的新方式。Nymi手镯是一款可穿戴身份认证设备,使用(每个人独有的)心电图节奏通过智能手机来验证身份。这款设备采用三重要素身份验证机制。独特的心律、手环和已注册的智能手机上的安全应用三者缺一不可。指纹很容易就可以检测到并被复制,但是个人心电图可不是这样的。
另外一个设备是智能戒指NFC Ring。虽然更简单,但是这款设备常用于需要非常近的距离来保持安全性的应用。在这种情况下,指环到设备的读取距离是一毫米。这意味着设备必须被有效触碰到。这么短的读取距离也防止了天线读取安装在指环中的芯片所包含的信息。开发人员表示,这款指环可用于解锁手机,允许访问装有支持NFC门锁的门,甚至还可以充当汽车点火按钮。然而,由于物理安全是这款设备唯一的安全机制,这款手环用于金融交易不安全。如果一个普通门锁的钥匙被盗,那么就得换锁。类似地,如果指环被偷了,门锁就要重新设定程序。而且,最近的研究表明,大多数人甚至不费心去锁定手机,不管是输入PIN码还是创建划动模式,而NFC Ring可以显著增强当前完全缺乏的手机安全性。
摩托罗拉 Moto X手机配套的Motorola Skip也采用NFC技术。Skip是与手机配对的一块小芯片。将手机轻轻一碰Skip,就能解锁手机。如果Skip丢失了,可以通过手机撤销它和手机的绑定,并重新配对新的Skip。手机仍然可以通过PIN解锁。
曾被认为只能流行一时的可穿戴设备,例如智能手机,在未来几年可能会成为大多数人生活中不可或缺的一部分。个人设备必须经受市场和公众认可的考验。但是可以说,可穿戴设备的安全部门最好考虑并解决出现的安全隐忧并更好地利用这个设备能够带来的更强的安全性。