小心可穿戴设备带来的安全新风险

OPTION_5:HP

本文作者Jacob West为NetSuite安全性产品首席架构官、IEEE安全设计中心创始成员

可穿戴设备正在改变人类与科技互动的方式，而且这样的转换会导致必须被关注的安全性冲击；那一类设备与我们的日常生活紧密结合，感测并传输我们的活动与健康数据，让我们长期以来在台式机与网络应用程序所遭遇的安全风险以新形态呈现。

IEEE旗下的网络安全计划之安全设计中心(Cybersecurity Initiative’s Center for Secure Design)，最近发表了一份题为“WearFit：可穿戴式健身追踪设备的安全设计分析”报告，透过分析可穿戴设备的设计，针对安全软件设计原则与做法提供了实际的见解。

该份报告是以一种虚构的健身追踪设备“WearFit”设计为基础，但反映了市面上的实际产品；

报告是以WearFit的软硬件架构综览为开端，并详细介绍了沟通健康资料与后端网站、完善了整个设备生态系统的移动应用程序。

在 报告中采用了另一份IEEE报告“避免前十大软件安全性设计缺陷(Avoiding the Top 10 Software Security Design Flaws)”中的模型，让读者了解安全性设计决策为何是对WearFit系统最重要的元素；这项工作是由IEEE网络安全计划下的安全设计中心所完成， 其任务是将软件产业的关注焦点，由反应性的搜寻错误转向更积极的、避免弱点的安全性设计。

报告中的WearFit系统内含可向整个系统证明它们身份的、各自的信任凭证需求(trust requirements)以及功能；不肖人士为了窃取用户的健康数据，可能会利用仿冒的可信任零组件，但恰当设计的系统能因应这种情况。这种信任凭证 只会在一旦零组件主动于受保护的通讯频道建立彼此的身分时出现。

WearFit设备采用配对的程序来建立与在移动设备上执行的应用软件之间的信任凭证，双方都以可视方式呈现相同的标记(token)，因此用户能验证其匹配；一旦用户确认其匹配，每台设备会储存另一台设备的身分，从那时候开始设备之间就建立了信任关系并能进行通讯。

笔者想强调的是，安全设计并不总是与安全性功能相关；一般说来，若设计缺陷出现在设计的非安全特定方面，仍然会影响其安全性。事实上，在上述报告中所讨论到的绝大多数安全设计缺陷，都会冲击安全性但与非安全性功能相关。

当一个程序设计师犯了程序代码的错误，可能导致安全性的缺陷并引发攻击，波及软件系统的保密性、完整性或可用性；反过来说，安全性缺陷是不良设计决策的后果－－也就是该系统被设计去做的某件事，但从安全性的角度来看是不明智的。

举例来说，一个系统可能被设计成允许简单的任意密码任争、甚至是容易被猜到的，这就是一种让系统有被攻击风险的设计缺陷，但并非是程序设计师犯的错，缺少的只是要求强密码的密码机制。

编译：Judith Cheng

本文授权编译自EE Times，版权所有，谢绝转载

关注最前沿的电子设计资讯，请关注“电子工程专辑微信公众号”。