消委會未有考慮資安
智能穿戴裝置已走入日常生活,大眾接觸最多的應該是智能手錶及智能手環,但近年亦有智能指環、眼鏡、耳機甚至智能服飾。這些設備既有實際用途亦可提升生活便利。當裝置聯繫其它智能裝置,可協助監察健康數據、接收及發送訊息。消費者委員會分別於今年三月及五月發表智能手錶評測報告。最新一份報告涵蓋44款智能手錶及手環,結果發現個別樣本量度的運動及健康數據誤差甚大,電池表現亦參差。消委會建議購買該等產品時考慮個人需要、數據準確度、電池續航力、充電時間、產品使用方便程度、應用程式功能及個人化設定等。筆者發現兩次測試都是針對智能穿戴裝置的功能與表現,竟然沒有包括資訊安全。筆者認為資訊安全應是關鍵考量之一,原因明顯不過。智能穿戴產品收集的是非常敏感的個人數據,例如健康指標、移動軌跡、訊息、支付詳情等,大部份擁有收音功能可全時聽取指令及錄音,部份更配備鏡頭隨時拍照及錄影。若只顧性能及美觀,不看清楚私隱政策及裝置安全,隨時將監控及竊取資訊裝置戴上身而不自知。
智能穿戴風險非一般
智能穿戴設備有額外資訊風險用家未必為意。首先是裝置作業系統安全風險,幾乎各品牌的智能穿戴都使用自身開發且不開源的作業系統,背後如何運作,有否侵犯私隱,只得一個「信」字。一旦作業系統有「後門」,裝置更可變成間諜工具。其次是數據洩漏風險。由於耗電量較低且不需要長距離傳輸,智能穿戴絕大部份使用藍牙傳輸。但相對Wi-Fi而言,藍牙的傳輸加密協議相對薄弱,配對方式亦相對簡單,較易受到中間人及黑客攻擊。部份產品甚至沒有選項將藍牙關閉,令產品無時無刻暴露於通訊風險之中。以往發生不少利用藍牙入侵裝置的事故。部份裝置設計不足,連上鎖功能也欠奉,一旦落入他人之手,敏感資料有機會被盜取。另一問題是供應商大多缺乏明顯更新承諾。一旦韌體缺乏定期更新,安全弱點就可被利用。韌體更新並不一定自動,可能透過軟件啟動,若用家忽略,同樣存在安全問題。另外,大部份智能穿戴要在手機額外安裝供應商的軟件,這些應用程式需要大量授權,亦可能將裝置收集到的個人資訊透過軟件上傳伺服器,甚至分享給第三方。為了支援智能穿戴的各種功能,廠商在開發軟件時可能使用第三方SDK,例如地圖、統計、廣告、短訊及支付等,使用何方的SDK缺乏透明度,這些SDK可能收集甚至偷取資料。任何上傳雲端的數據,伺服器可能直接管有解密鎖匙有能力讀取資料,若伺服器所在地是極權國家,資料更可能被政權取用。
購買及使用請做足功課
智智能穿戴的各種資訊安全問題,購買前後都要做足功課。首先查清楚基本事實,包括廠商根本所在地,品牌信譽,作業系統是否可信,連線及傳送協議等。請閱讀私隱政策細則,關鍵是收集甚麼數據,哪些數據在裝置處理,哪些在雲端處理,伺服器在哪裏,條款適用的法律所在地。除了你之外有否其他人能讀取加密數據。哪些數據將分享給第三方。留意安全更新承諾及更新歷史紀錄。請清楚了解更新韌體的程式,查看韌體最後更新日期。如果韌體已超過一年,裝置可能已暴露於高風險漏洞,資訊安全監測敏感的用家可能要考慮更換裝置。小心部份智能穿戴標榜成小孩玩具,有些更給予家長隨時收音及取得位置的「超級監視功能」。只要有任何連線及資料傳送,絕不能當作玩具,必須全盤考慮安全。若要更深入了解該裝置的安全性,可參考一些較為獨立的安全機構分析,例如Mozilla Foundations 。使用前,必須檢查各項設定,以私隱及資訊安全為本,尤其是數據共享、實時收音、位置、鎖定等。是凡需要安裝軟件,先查清楚軟件底細及授權,內含追蹤器等,並嚴格控制權限。在使用上留意個人私隱,筆者身邊有不少朋友的智能手錶彈出敏感訊息讓第三方清楚看見。控制裝置必須先輸入密碼,一旦移除應自動上鎖。避免全時開啟通訊或聽取指令,應考慮實際情況儘量使用飛行模式。特殊情況應確保所有智能穿戴產品遠離身邊。
任何帶來方便的裝置必須習慣同時考慮私隱與資訊安全。功能及價格評分再高,可能隱藏了一個價錢牌,你未有看清楚,價格就是你的個人資料及私隱。◇
----------------------
🏵️ 法輪大法洪傳世界33周年特刊:
https://tinyurl.com/3p4e4yrn
----------------------
【不忘初衷 延續真相】
📰周末版復印 支持購買👇🏻
http://epochtimeshk.org/stores
