Scott Register是网络性能测试公司Ixia的产品管理副总裁。在他看来,AR 虽然是未来发展的趋势,不过同时也很有可能会给企业带来新的安全隐患。针对这一问题,他谈了谈一些预防措施,以供人们参考。 AR 其实并不是什么新出现的技术,但是近段时间以来 Pokemon Go 的大热也随之带动了 AR 这一概念在大众中的普及。现阶段智能手机的计算能力已经能够支持一些轻量级 AR 应用的运行,加上导航与追踪技术的发展,似乎现在大家都已经习惯在日常生活中利用手机来确认自己的位置信息。虽然手机的这一功能的确是让我们的生活变得更加方便了,然而另一方面,这也存在着暴露个人信息的风险。 这种安全隐患不仅在个人使用手机的情况下存在,对于企业来说也存在同样的风险。试想一下,如果公司一位员工在不知道如何操作打印机的情况下,通过使用设备扫描打印机来获取帮助;又或者是公司的维护工程师用平板扫描一些主要电器设备来进行维修…… 这些都是非常有可能实现的 AR 用法,也非常有利可图,然而却存在着泄漏公司机密的风险。 信息的传输需要通过网络进行,于是关于 IP 地址、地理方位、设备类型、用户权限以及等等其他信息也会一并包含在传输内容之中。如果有人中途拦截了这些传输数据,也就得到了所有这些个人信息。这并不是危言耸听,事实已经证明,Pokemon Go 玩家的数据能够采用这种方式被成功拦截。 正因为这样,所以也就不能理解为什么美国五角大楼官员以及以色列的国防部门官员被禁止玩 Pokemon Go,这是为了保护国家的安全信息不被泄漏。那么对于其他机构而言,AR 还会带来哪些潜在安全隐患,又应该要才去什么措施来预防呢? 这些可能遭到泄漏的数据,都有哪些? 为了更清楚地说明这个问题,让我们先来看看 AR 网络数据的类型,看看其中将会包含哪些信息。Ixia 以及致力于计算机安全研究的非盈利小组威胁情报 Threat Intelligence 的研究人员最近分析了 Pokemon Go 这款应用与 Niantic 服务器之间的传输数据内容,并且发现了其中一些安全问题。 为了根据玩家的周围环境给他们传输合适的小精灵信息,Pokemon Go 需要获取玩家的地理位置。再加上其他个人信息(不要忘记,在一开始的 Pokemon Go 用户协议中就包含获取用户的谷歌账户、使用以及搜索记录等权限),要完全掌控一个人的个人隐私信息和行为模式完全不是什么难事。这些信息对于想要实施网络犯罪的人而言就非常有利用价值了。 另外,Pokemon Go 的交流工具是基于 HTTPS 的,早期安装的版本不支持证书锁定,对于有意想要拦截信息的罪犯而言,无疑又减少了一道阻碍。 正因如此,这类 AR 应用的安全性就变得至关重要。万一出现任何漏洞,用户的个人信息就会轻易被窃取。AR 应用之所以比一般传统的应用更需要保密用户信息,关键就在于因为 AR 要把用户的真实信息与数字信息叠加起来,因此需要对用户的周围环境有更深度的认识,除了地理位置,还有购物历史、经济状况以及其他更加核心的个人信息。想必每个人都不想自己的隐私被窥探吧。 堤防恶意软件 接下来看看恶意软件的影响。就在 Pokemon Go 发布四天后,一些网络不法分子就制作了一个盗版 Pokemon Go,并在其中植入了恶意插件,这相当于给其他的 AR 应用提供了一个便捷的犯罪手段模板。这些恶意软件几乎能够从各个方面窃取用户的隐私,通过用户的键盘记录器证书,远程控制木马,获取用户的数据,从而影响用户整个终端设备的运行, 如何更好地应用 AR? 正因为上述原因,提前才去防护措施就变得格外重要。在下一个爆款 AR 应用推出之前,事先想好要如何在使用 AR 给我们的生活带来便利的同时,防止个人信息的泄漏已经变成了亟需解决的问题。 可以从三个方面考虑。一是移动终端的管理解决方案,这是因为像 Pokemon Go 这样的 AR 应用都是依托移动终端运行的。二是员工培训,提高他们的防范意识,因为很多信息都是泄漏都是因为人们的大意而发生的。 第三则是实现 APP 流量监控可视化。要防止敏感信息的泄漏,用户需要学会如何全面实时地监控自己的流量使用情况,万一发现任何异常才可以立马采取措施。现在已经有不少这样的监控工具,包括应用层过滤以及加密流量传输等等。如果没有这样点对点的监控,AR 应用很容易会将公司的机密泄露出去
