实验2
APP权限检查 连按键都没有的手环APP也要求拍照片权限
杨超老师介绍,手机中安装的应用程序的权限,有的会直接涉及个人隐私。小米手环和三星Gear Fit手环都可以在安卓系统中运行,所以查看其权限就可以了解到该应用程序可能会涉及的个人隐私信息。
华商报记者查看了安卓手机中安装的“小米手环”和“Gear Fit Man-ager”的应用权限。结果发现,尽管小米手环连按键都没有,但应用信息中“权限”列表中,除了查看WLAN连接和访问蓝牙设置外,赫然还有:直接拨打电话号码、拍摄照片和视频、大致位置和精确位置、控制闪光灯、发送持久广播等内容。小米网站上的信息显示,小米手环并没有控制拍照的功能。
“Gear Fit Manag-er”应用的权限要求比“小米运动”更多,除了拨打电话、拍摄照片和视频、精确位置外,还有读取通讯录、编辑读取文字信息、读取日历活动和机密信息、查找设备上账户等权限。
从该手环屏幕呈现的功能来看,除了计步器、锻炼、心率、睡眠等项目的监测外,还可以实现“查找我的设备”,“通知”可以转发来自手机的未接电话、未查看短信。这些来自手机的信息被直接转到了这块小小的屏幕上。但并不具备控制手机拍摄照片和视频等功能。
>>实验总结
杨超老师:应用软件过多的权限要求,破坏了网络安全方面“最小权限”原则,开发者可能是为了将来要开发的功能考虑,但手环若被人控制,因为这个原因可能导致手机里的其他数据遭到破坏。比如控制手机在机主不知情的情况下拍照,获取通讯录里的联系人信息、支付信息等。实验一只是可能窃取可穿戴设备里储存的信息,而实验二所发现情况的后果可能是窃取手机里面的信息,后果更严重。
实验3
设备信息保护 未设密码的带屏幕设备隐私信息可随便看
带有显示屏的智能手环和智能手表上会储存很多隐私信息,一旦丢失后被人偷窥也会泄露很多隐私信息。在拿到三星Gear Fit手环和Apple Watch时,华商报记者发现,尽管设备的主人都表示这些设备里没什么,但打开设备后,通讯录、短信、未接电话、未查看短信等敏感信息还是可以看到。Apple Watch还可以设置密码,但三星Gear Fit手环屏幕并未设密码。手环的主人说,他也不知道如何设密码。
有媒体报道称Ap-ple Watch存在的一项重大安全漏洞,错误地输入密码六次,这个手表就会被锁定。通过一系统操作可以重置Apple Watch。
真是这样吗?华商报记者进行了实验验证。故意输入错误密码7次以后,设备出现文字提示让等1分钟再尝试;1分钟后再次输错一次密码,又让等5分钟;5分钟后再次故意输错后让等15分钟;15分钟后再次故意输错又让等60分钟;60分钟后再次故意输错则会弹出提示:“密码错误”,并提醒“请在iPhone打开 Apple Watch应用,前往Pass-code,轻按‘重启密码’再试。”看来,并非如上面报道所说的那样,轻易就可以让小偷将Apple Watch还原重置。
记者随后查看iPhone手机中的Watch应用发现,其中有“抹掉数据”的选项。启用此功能后,输错10次密码后,Apple Watch的所有数据将被清空。
另据苹果官网的推介文字,尚未推出的苹果手表新操作系统watchOS2包含了全新的安全功能,即激活锁。若要激活Ap-ple Watch,需要使用Apple ID和密码。如此一来,当Apple Watch丢失或被盗时,机主的信息仍可保持安全。
>>实验总结
杨超老师:相对来说,人们对于自己手机信息的安全保护意识比较强,而对智能穿戴式设备中存储的信息却容易忽视,其实由于这些设备和手机相连,而且储存有部分隐私传感数据,如果没有密码保护,泄密后也可能产生和手机中隐私泄露一样的后果。
一旦隐私信息泄露,有可能被人利用来对个人行为习惯、性格特征、健康状况等更产生进一步的推断,轻则用于广告投放,严重的甚至被用来进行非法活动。提醒大家,可穿戴设备,能设密码的一定要设密码。 华商报记者 马虎振 文/图
来源:华商网-华商报
相关热词搜索: 手环 AndroidWear 智能设备 权限 Apple 手机同步 Gear Fit 绑定 通知 百姓民生
