渐入佳境：KIS 2015

“可穿戴”一词最早只是用来形容易于穿戴在身上的衣着类物品。而现在，”可穿戴”一词则指的是用户可穿戴在身上的移动设备，而后者正是上周在全球范围热议的话题。 这一话题之所以引起了多方讨论，原因在于每年9月份的苹果新品发布会上通常只发布一款iPhone手机产品。而今年的新品发布会则与往年有所不同，发布会上的关注焦点变成了自Google Glass（Google眼镜）发布以来可能最令全球期待的可穿戴设备：Apple Watch（苹果智能手表）。 我的同事Alex Savitsky在对苹果全新支付平台安全性的分析中，将对这类设备抱有期待的人群分为了三类， 而在这里我想三类改为四类：第一类人，依然顽固地拒绝购买任何苹果产品，就好像自己受到了已故史蒂夫•乔布斯的不公正待遇一样；第二类人，使用自己心爱的采用retina显示屏的Macbook Pro（苹果笔记本电脑）在推特和博客上对苹果产品的缺点大肆冷嘲热讽；第三类人，有意购买苹果产品，如果看到类似”苹果产品与其它品牌产品并无二异”的文章时，会整天盯着此类文章下面的评论不放； 最后一类人，只要市面上出现拥有各种有趣用途的新产品，都会兴奋不已。 在这里我还想借用另一名同事Peter Beardmore的说法，虽然用在了不同的背景下：”高端”用户会买下所有最新流行的产品，无论是是Apple Watch、Google Glass或者只是一种新的洗碗机，而从不会考虑其安全性。购买后他会询问你的看法，并认真听取你的意见，即使你的观点是这个产品根本一无是处，他也丝毫不会后悔。 Google Glass基于安卓系统，因此毫无例外地”继承”了其它安卓设备中所发现的已知各种漏洞。 问题出现了：创新设备不仅同样要面对传统的威胁，而有时甚至更易于受到这些威胁的攻击。甚至更糟，创新设备迟早还将面临创新的威胁。从Apple Watch这样奥威尔式的名字看，也必将难逃厄运。网络犯罪分子将通过Apple Watch和其它所有可穿戴设备来窥视你在互联网上的一举一动，收集你的所有在线信息然后提供给第三方。 卡巴斯基实验室全球研究与分析团队的安全和恶意软件分析师Roberto Martinez在其刊登于Securelist上最新一篇文章中分析了Google Glass的优缺点，切中了问题的要点。 “无论是目前的设备还是新发布设备，都有着许多共同之处：使用相同的协议并用类似的应用来与其它设备进行互联。没有任何解决的办法。传统的攻击途径主要是以中间人（MiTM）、对操作系统的漏洞窥探或应用本身对网络层发起攻击。由于同样采用安卓系统，因此Google Glass也会毫无例外地”继承”了其它安卓设备中所发现的已知各种漏洞。” Martinez还介绍了一种难以置信的简单攻击方法，最初由移动安全公司Lookout发现。由于Google Glass是通过扫描由一款特定移动应用生成的二维码来实现互联网连接。只要Google Glass扫描这些二维码，就能自动联网。如此，Lookout所要做的只是创建自己的二维码，让Google Glass扫描，随后该设备就能与任一可能由恶意方控制的无线网络配对。这是一个利用现有威胁（恶意二维码）对新设备进行有效攻击的典型例子。 类似于#AppleWatch和#GoogleGlass这样的可穿戴设备将像传统电脑一样面临同样的#安全威胁 “但可穿戴设备的潜在风险来源却与电脑或移动设备不太一样，Google Glass界面是通过”卡片”进行导航，滚动不同的应用和设置，因而限制了配置选项。有时候，用户只需发出极其简单指令，Google