Scott Register是網絡性能測試公司Ixia的產品管理副總裁。在他看來,AR 雖然是未來發展的趨勢,不過同時也很有可能會給企業帶來新的安全隱患。針對這一問題,他談了談一些預防措施,以供人們參考。
AR 其實並不是什麼新出現的技術,但是近段時間以來PokemonGo 的大熱也隨之帶動了 AR 這一概念在大衆中的普及。現階段智能手機的計算能力已經能夠支持一些輕量級 AR 應用的運行,加上導航與追蹤技術的發展,似乎現在大家都已經習慣在日常生活中利用手機來確認自己的位置信息。雖然手機的這一功能的確是讓我們的生活變得更加方便了,然而另一方面,這也存在着暴露個人信息的風險。
這種安全隱患不僅在個人使用手機的情況下存在,對於企業來說也存在同樣的風險。試想一下,如果公司一位員工在不知道如何操作打印機的情況下,通過使用設備掃描打印機來獲取幫助;又或者是公司的維護工程師用平板掃描一些主要電器設備來進行維修…… 這些都是非常有可能實現的 AR 用法,也非常有利可圖,然而卻存在着泄漏公司機密的風險。
信息的傳輸需要通過網絡進行,於是關於 IP 地址、地理方位、設備類型、用戶權限以及等等其他信息也會一併包含在傳輸內容之中。如果有人中途攔截了這些傳輸數據,也就得到了所有這些個人信息。這並不是危言聳聽,事實已經證明,Pokemon Go 玩家的數據能夠採用這種方式被成功攔截。
正因爲這樣,所以也就不能理解爲什麼美國五角大樓官員以及以色列的國防部門官員被禁止玩 Pokemon Go,這是爲了保護國家的安全信息不被泄漏。那麼對於其他機構而言,AR 還會帶來哪些潛在安全隱患,又應該要纔去什麼措施來預防呢?
這些可能遭到泄漏的數據,都有哪些?
爲了更清楚地說明這個問題,讓我們先來看看 AR 網絡數據的類型,看看其中將會包含哪些信息。Ixia 以及致力於計算機安全研究的非盈利小組威脅情報 Threat Intelligence 的研究人員最近分析了 Pokemon Go 這款應用與 Niantic 服務器之間的傳輸數據內容,並且發現了其中一些安全問題。
爲了根據玩家的周圍環境給他們傳輸合適的小精靈信息,Pokemon Go 需要獲取玩家的地理位置。再加上其他個人信息(不要忘記,在一開始的 Pokemon Go 用戶協議中就包含獲取用戶的谷歌賬戶、使用以及搜索記錄等權限),要完全掌控一個人的個人隱私信息和行爲模式完全不是什麼難事。這些信息對於想要實施網絡犯罪的人而言就非常有利用價值了。
另外,Pokemon Go 的交流工具是基於 HTTPS 的,早期安裝的版本不支持證書鎖定,對於有意想要攔截信息的罪犯而言,無疑又減少了一道阻礙。
正因如此,這類 AR 應用的安全性就變得至關重要。萬一出現任何漏洞,用戶的個人信息就會輕易被竊取。AR 應用之所以比一般傳統的應用更需要保密用戶信息,關鍵就在於因爲 AR 要把用戶的真實信息與數字信息疊加起來,因此需要對用戶的周圍環境有更深度的認識,除了地理位置,還有購物歷史、經濟狀況以及其他更加核心的個人信息。想必每個人都不想自己的隱私被窺探吧。
堤防惡意軟件
接下來看看惡意軟件的影響。就在 Pokemon Go 發佈四天後,一些網絡不法分子就製作了一個盜版 Pokemon Go,並在其中植入了惡意插件,這相當於給其他的 AR 應用提供了一個便捷的犯罪手段模板。這些惡意軟件幾乎能夠從各個方面竊取用戶的隱私,通過用戶的鍵盤記錄器證書,遠程控制木馬,獲取用戶的數據,從而影響用戶整個終端設備的運行,
如何更好地應用 AR?
正因爲上述原因,提前纔去防護措施就變得格外重要。在下一個爆款 AR 應用推出之前,事先想好要如何在使用 AR 給我們的生活帶來便利的同時,防止個人信息的泄漏已經變成了亟需解決的問題。
可以從三個方面考慮。一是移動終端的管理解決方案,這是因爲像 Pokemon Go 這樣的 AR 應用都是依託移動終端運行的。二是員工培訓,提高他們的防範意識,因爲很多信息都是泄漏都是因爲人們的大意而發生的。
第三則是實現 APP 流量監控可視化。要防止敏感信息的泄漏,用戶需要學會如何全面實時地監控自己的流量使用情況,萬一發現任何異常纔可以立馬採取措施。現在已經有不少這樣的監控工具,包括應用層過濾以及加密流量傳輸等等。如果沒有這樣點對點的監控,AR 應用很容易會將公司的機密泄露出去
更多精彩,更多最新資訊,盡在VRAR導航
