安全漏洞曝光,Apple Watch的安全机制任重而道远 _IT风云_专栏频道首页_财经网 - CAIJING.COM.CN
当前位置:专栏频道首页 > IT风云 >
个股查询:
 

安全漏洞曝光,Apple Watch的安全机制任重而道远

本文来源于财经网 2015-05-29 22:19:00 我要评论(0
字号:
实际上,小偷从他人那里窃取Apple Watch之后,不需要任何专业知识就可以轻松重置该设备。令人疑惑的是,为什么iPhone和iPad有相应的激活锁功能,Apple Watch却存在如此大的安全漏洞?

苹果手表

【覃特/文】Apple Watch自4月10日开启预购后,目前大部分用户已经收到了首批苹果的智能手表,而黄金版Apple Watch Edition也已开始陆续发货。虽然苹果公司没有披露Apple Watch智能手表的销量,但市场研究公司Slice Intelligence估计,Apple Watch订购量为250万块,而数据显示消费者需求出现大幅下滑。

Slice Intelligence称,与Apple Watch预购首日遭疯抢的情形不同,在首日之后,需求一直相当低,每天订购量不足3万只。照此情形,Apple Watch的年出货量将不足1100万只。实际上,Apple Watch在上个月初正式开启线上预购后,分析师们最担心的问题是产能供应不足,如今在苹果加紧解决产能问题后,消费者对Apple Watch的热情却正在开始消退。

为什么会出现消费者对Apple Watch购买热情消退的局面?从网络上许多用户购买后晒单的情形来看,似乎大家已经对Apple Watch多少有点“累觉不爱”了。光彩照人的苹果智能手表也许赢得了最早的一批消费者,并成为了当前最热门的产品。但是很多专业的评测文章也指出,Apple Watch给人的感觉是这是一款半成品,而且不幸的是它的表现并不智能,连最基本的安全防护都做得不够好。不久前,Apple Watch存在的一项重大安全漏洞也被专业测评媒体iDownload曝光,那就是如果Apple Watch被偷,完全不需要任何技术破解,就可以对其进行重置。

从 iOS 7开始,苹果在iPhone和iPad上引入了名为Activation Lock(激活锁)的防盗功能,在其保护下,想要给设备刷机就必须输入对应的iCloud帐户密码。而如今作为苹果最新的热门产品,Apple Watch 在许多人想来,理所当然也应该具有相同的本领才对。

而实际情况却并非如此,新一代的iPhone和iPad都支持激活锁功能,这是一项防止被偷设备被刷机的安全功能。当小偷尝试刷机时,激活锁会要求输入iCloud账户密码,从而阻止设备被刷机的风险。从专业测评媒体iDownload提供的评测视频不难看出,如果你忘记了密码——或者说小偷根本不知道Apple Watch的密码,你仅仅需要错误地输入密码六次,这个手表就会被锁定。这个时候只需要长按手表右侧按键,再通过Force Touch 关机,手机屏幕上就会出现“清除 Apple Watch 内所有内容、所有设定”的选项,紧接着连接上电源,就可以成功重置 Apple Watch 并与其他 iPhone手机配对了,整个重置过程不需要使用到任何密码。

多少具有讽刺意味的是,当你从手腕上脱下Apple Watch的时候,苹果却要你输入密码。这样做的目的是为了保护你的数据安全,但是Apple Watch却没有保护数据不被擦除和设备重启的措施。

相比之下,iPhone的安全性能要好得多。众所周知,从2014年开始苹果公司已在新的iPhone智能手机中增加了Kill Switch(手机自我毁灭装置)防盗技术,取名“Activation Lock”防盗系统,也就是相应的激活锁功能。若手机被盗或者改换USIM卡时,手机将完全被锁死,并且手机无法恢复出厂设置,可以有效防止因手机丢失而造成个人信息外泄。

不要小看这样的安全技术,在2014年之前iPhone盗窃案已经成为旧金山和纽约的主要问题,政府官员要求苹果和其他厂商推出Kill Switch机制,让被偷走的设备毫无用处。苹果最终在iOS 7系统中发布了激活锁功能。一项来自警方的统计数据表明,在引入激活锁功能的一年之后,纽约的iPhone盗窃案下降了25%,旧金山的盗窃案下降了40%,伦敦的iPhone盗窃案下降了50%。毕竟,被盗后的iPhone如果不能重新激活,也就没有什么转售价值,这样自然大大降低窃贼的“惦记之心”。

当然,很多用户最为担心的事情还包括:失窃后的Apple Watch不仅仅是“认贼作父”,进而是否会“为虎作伥”,窃贼是不是可以通过Apple Watch给用户造成更多的金钱损失?毕竟,从用户的使用习惯而言,Apple Watch还是 Apple Pay 的天然利器。这样用户无需从口袋中掏出手机,就可以从超市等多个支持Apple Pay的地方完成购物和支付。因此,哪怕丢失的是一台最普通的Apple Watch,这并不仅仅关乎349美元(约合人民币2140元),而它上面Apple Pay可能还绑定着你的iTunes账号和信用卡账号。

苹果手表2

不过就Apple Pay的使用安全特性而言,这一点倒不必过多担心,从运行机制来看,Apple Watch会使用一个 PIN 码来授权 Apple Pay,第一次授权后,只要不摘下手表,就无需重复授权。当摘下手表后,就需要再次输入 PIN 码来授权。也就是说,Apple Watch背部的传感器能够监测出它是否戴在用户手腕上。如果离开手腕,作为一种安全防范措施,它就会立马自动锁住支付功能,只能通过密码解锁。苹果采取这样的解决方案还是较为合理的,因为普通用户通常只是晚上睡觉才摘下手表,白天一旦戴上就很少摘下,这样用户每天只需授权一次,可以省去用户多次输入 PIN 码的麻烦。与此同时,也保证了用户信用卡的安全,小偷即使把Apple Watch偷去也无法进行支付。

因此,就Apple Pay用户的数据信息而言,还是非常安全的,并不会因为Apple Watch的丢失而被盗窃者所访问读取。不过就Apple Watch智能手表本身而言,消费者的花费在299美元到13500美元之间,老实说其在防盗方面并不是一个很合格的高科技产品。Apple Watch算是比较昂贵的设备,尤其是Edition版本。就像所有苹果产品一样,Apple Watch的二手专卖价值也非常高。当然,想要从用户手腕上偷走设备也并不容易,从一个人的手腕上偷取一个手表,要远远比从背包或口袋里偷盗iPhone困难得多,但苹果似乎没有设想过在其他情况下被偷走的可能性,一旦Apple Watch偷走后怎么办?似乎也根本没有考虑过。

其实,苹果完全可以采取类似于iPhone、iPad的安全激活方式,来保障Apple Watch的安全。另外,因为没有激活锁,而设备需要iPhone才能工作,所以 Apple Watch 也不支持“Find my iPhone”(查找我的iPhone)功能。由于缺少安全措施,Apple Watch自然可能成为小偷窥探的新目标。

目前,苹果已经知道Apple Watch存在的这一漏洞,但尚未提出任何解决方案,考虑到 Apple Watch 的热销度及并不便宜的售价,苹果公司还是尽快想出解决办法吧。就目前而言,最快的解决办法是加一个程序补丁,与此同时,还应该考虑更多的补救措施,多管齐下,才能匹配苹果公司高层一直在宣扬的Apple Watch的安全特性。

实际上,在最早公布的Apple Watch手表的专利中,苹果还在专利中描述了基于腕带的遥控输入或输出界面,并且指出腕带设备还可以与 iPhone 连接,从而在遗失或被盗时提醒用户。虽然专利中没有介绍,不过这种基于间距的防盗功能可以通过Bluetooth 4.0蓝牙技术实现,也就是说,苹果手表能在离手机一定距离的时候实现报警。如果有这个功能,就能进一步完善Apple Watch的防盗措施。

总体而言,Apple Watch的安全机制应该是一个综合性的工程,可现在的这款“半成品”还存在着诸多不足。举个例子,Apple Watch集成了很多第三方应用,这也将增加安全和隐私方面的风险。其中一个非常新颖的功能,就是它允许开发者将应用的功能一分为二,这就有可能将以往交由内部处理的通信和函数调用暴露出来,设计不好的应用有可能为iPhone的内容提供对无线网关的访问。也就意味着无需物理接触手机,就能干坏事,这样也会给黑客们以诸多可趁之机。

从未来的发展来看,如果Apple Watch被广泛接受,用它解锁计算机、车辆和办公室门可能会变得十分方便。但是,这些能令企业人员工作生活更加方便的应用,同时创造了可能被企业所监视的机会,以致引发隐私问题。比如说,这个设备能被用于追踪人们的物理位置。而一些注重安全的用户可能会在不需要时关闭手机的Wi-Fi或蓝牙,但Apple Watch的功能依赖于这些服务进行通信,因此只能一直开着。实际上,蓝牙每过两年都会爆出一个漏洞,而Wi-Fi也非常容易遭受中间人的攻击,用户难免会为使用的便利性而付出代价。由于Apple Watch预售的火爆和业内人士对其大卖特卖的光辉前景的预测,令它必将成为小偷惦记以及黑客攻击的目标,在这一方面苹果必须未雨绸缪才行。

(编辑:huhaonan)
关键字: 安全漏洞 机制
分享到:

财经网微评论0人参与)

查看更多>>
匿名评论
  • 全部评论(0条)
查看更多>>

热门文章

热点商讯

编辑推荐

要闻

更多>>

编辑推荐

  • 宏观
  • 金融
  • 产经
  • 地产
  • 政经
  • 评论
  • 生活
  • 海外

排行榜

  • 热文
  • 本周热文
  • 热图
  • 热评
  • 博客