亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　每天，全球都有數(shù)百萬人在積極地記錄他們的生活、想法、體驗和成就等各個方面，這種活動被稱為“自我追蹤”(亦稱作‘量化自我’或‘生活日志’)。人們因為各種原因進行自我追蹤，從而導致個人信息被大量地生成、傳輸，以及被儲存在不同位置，因此，確保隱私和安全成為設(shè)備和應用程序用戶的重要考量因素。賽門鐵克在大量自我追蹤設(shè)備和應用程序中發(fā)現(xiàn)了安全風險，其中最重要的發(fā)現(xiàn)之一則是，在被檢測的所有可穿戴活動追蹤設(shè)備中，即便是來自領(lǐng)先品牌的設(shè)備也十分容易受到位置追蹤的攻擊。

　　很多人使用各種小配件進行自我追蹤，例如電子腕帶、智能手表、掛件甚至智能服裝。這些小配件通常配有大量傳感器、一個處理器、一個內(nèi)存和一個通信接口，支持用戶輕松收集、存儲并將數(shù)據(jù)傳輸至另一臺電腦進行處理和分析。

　　盡管使用特殊設(shè)計的小配件日趨廣泛，但是智能手機仍舊可能是人們進行自我追蹤最常用的設(shè)備。現(xiàn)代的智能手機內(nèi)置了各種不同的傳感器，許多自我追蹤應用程序都可以更好的對這些傳感器加以利用。現(xiàn)在，許多人正在使用智能手機，由于免費自我追蹤應用程序數(shù)量的激增，用戶現(xiàn)在可以更輕松地進行自我追蹤活動。

　　當用戶希望開展自我追蹤活動時，他們只需要從不同的應用程序市場中選擇一個應用程序，進行安裝并注冊帳號，然后就可以開展自我追蹤活動了。當每次追蹤完成后，用戶不僅可以查看成果，還可以將收集的數(shù)據(jù)同步并儲存到云服務器中。

　　當我們將個人信息和量化自我數(shù)據(jù)發(fā)送給服務提供商時，我們是否可以信任他們呢？我們?nèi)绾瘟私馑麄兪欠駮扇”匾牟襟E來保護我們的信息和隱私？為解答這些問題，賽門鐵克對自我追蹤領(lǐng)域的當前發(fā)展狀況進行了深入的研究，并對市場上最流行的量化自我設(shè)備和應用程序進行了仔細調(diào)研，從而更進一步了解廠商為保護用戶所采取的相關(guān)措施。

　　通過無線傳輸協(xié)議，所有可穿戴活動追蹤設(shè)備都可以被追蹤或定位

　　目前市場上出售各種可穿戴的健身活動追蹤設(shè)備，這些設(shè)備通常包括可探測運動的傳感器，但是，大多數(shù)傳感器并不是為位置追蹤而設(shè)計。用戶通常需要將這些設(shè)備所收集的數(shù)據(jù)同步到另一臺設(shè)備或電腦上才能夠查看。為了方便起見，許多制造商使用低功耗藍牙設(shè)備將數(shù)據(jù)無線同步到智能手機或電腦上，但是，這項便利的功能也帶來了代價——設(shè)備可能會泄露信息，允許其他人從一個位置追蹤到另一個位置。

　　通過測試，賽門鐵克研究人員發(fā)現(xiàn)，所有設(shè)備都可以被輕松追蹤，一些設(shè)備還有可能支持遠程查詢，這取決于設(shè)備的配置。第三方甚至不需要與設(shè)備進行任何物理接觸，就可以從近距離獲取設(shè)備的序列號或特性組合等信息。

　　我們的研究結(jié)果顯示，這些設(shè)備的制造商好像并沒有認真地考慮過或解決佩戴其產(chǎn)品對用戶隱私所帶來的影響。這將導致，任何具有基本技能和簡單工具的人都能夠輕松地追蹤設(shè)備以及設(shè)備佩戴者。

　　竊賊或追蹤者很可能會使用位置追蹤信息，進行惡意的行為。竊賊早已能夠使用位置追蹤系統(tǒng)，獲取潛在受害者是否在家的信息。

　　許多量化自我應用程序和服務都具有一個基于云服務器的組件，用戶可以上傳和存儲從應用程序和服務中收集的數(shù)據(jù)，從而保護數(shù)據(jù)安全和進行分析。除了儲存活動相關(guān)的數(shù)據(jù)以外，一些服務還會收集其他各種個人信息，例如出生日期、感情狀態(tài)、地址、照片和其他個人數(shù)據(jù)。為了防止對用戶數(shù)據(jù)進行非授權(quán)訪問，這些服務均要求使用具有用戶名和密碼憑據(jù)保護的用戶帳號。

　　賽門鐵克通過觀察發(fā)現(xiàn)，絕大部分這種應用程序和服務，都無法安全地處理敏感的用戶數(shù)據(jù)，例如用戶名(如電子郵箱地址)和密碼。許多應用程序和服務通過不安全的媒介(例如互聯(lián)網(wǎng))傳輸用戶生成的數(shù)據(jù)，包括登錄憑據(jù)等，而不對數(shù)據(jù)進行任何保護(例如加密等)。這意味著，攻擊者能夠輕松地截獲和閱讀數(shù)據(jù)。在這一層級上缺少基本的安全性是非常嚴重的漏洞，這也引發(fā)人們對于此類服務和如何處理存儲在其服務器上的個人信息的質(zhì)疑。

　　鑒于大部分人都會在多個網(wǎng)站上重復使用登錄憑證，這種明文傳輸憑證的方式更加令人擔憂。由于重復使用，從一種服務中盜取的登錄詳細信息可能會被用于訪問更敏感的服務，如電子郵箱帳號或網(wǎng)上購物帳號。

　　隱私政策應該簡單易懂，即使是那些非法律專業(yè)人士也能夠理解，并且要在用戶注冊某項服務之前向其展示，以便他們在使用之前進行衡量。 盡管隱私政策如此重要，但是我們檢測的大多數(shù)應用程序都沒有隱私政策。

　　在網(wǎng)絡自我追蹤服務的發(fā)展和供應過程中，隱私政策的缺乏顯示出安全問題所受到的重視程度。在此，賽門鐵克建議用戶在注冊任何服務之前考慮隱私問題。

　　單個應用程序所接觸的單獨域的最大數(shù)量是14，而平均數(shù)是5

　　賽門鐵克發(fā)現(xiàn)，應用程序平均接觸五個不同的互聯(lián)網(wǎng)域，但是在最糟糕的情況下，我們發(fā)現(xiàn)一個應用程序在短短的執(zhí)行期間能夠接觸14個不同的域。盡管我們可以理解，應用程序可能需要接觸少量的域來傳輸收集的數(shù)據(jù)和訪問某些應用程序接口(API)，如廣告API等。但令人感到驚訝的是(+本站微信networkworldweixin)，大量應用程序因為不同目的而接觸了10或10個以上不同的域。由于市場營銷需求，許多應用程序會向分析服務發(fā)送報告，而這些分析服務將會收集和分析應用程序或者用戶行為。此外，一些應用程序使用分析功能研究應用程序本身的性能，向提供商匯報性能問題和應用崩潰等。

　　盡管出于應用開發(fā)人員的好意，但是由于應用程序使用第三方服務，用戶活動信息仍舊會通過最不可能的渠道泄露出去，例如，在一個用于追蹤性生活的應用程序中，它在開始和結(jié)束時都向某一分析服務網(wǎng)站發(fā)送特定請求。在通信過程中，應用程序會發(fā)送一個唯一的ID帳號、應用程序本身名稱，以及顯示被追蹤活動的開始和結(jié)束信息。 除了之前所提及的情況，還存在很多個人數(shù)據(jù)被無意泄露的其他情況，例如，人為錯誤、社交工程或?qū)?shù)據(jù)的草率處理等。

　　盡管我們喜歡與朋友和家人分享自己的生活，但是仍然有許多事是我們未必愿意與他人分享的。當我們不愿分享某事時，我們也一定不希望我們的服務提供商代表我們直接或間接地去分享。

　　在任何共享服務中，用戶帳號的作用是將一個用戶的狀態(tài)及數(shù)據(jù)與其他用戶分開。會話(session)將用于管理和處理數(shù)據(jù)，用戶不僅能夠訪問自己的數(shù)據(jù)，還能夠根據(jù)自己的訪問權(quán)限對數(shù)據(jù)執(zhí)行任務。薄弱的會話管理(session management)可能會被網(wǎng)絡罪犯利用，例如劫持會話并偽裝成其他用戶，這都可能會導致信息泄露、數(shù)據(jù)破壞等其他問題。

　　通過調(diào)研，賽門鐵克發(fā)現(xiàn)了一些不能正確處理用戶會話的網(wǎng)站。例如，攻擊者可以瀏覽該網(wǎng)站內(nèi)其他用戶的個人數(shù)據(jù)，或能夠上傳 SQL 語句，如命令在數(shù)據(jù)庫內(nèi)創(chuàng)建表格并要求服務器執(zhí)行，這些都是十分嚴重的安全失誤，并可能導致用戶數(shù)據(jù)庫出現(xiàn)重大漏洞。

　　設(shè)計或?qū)嵤┎划數(shù)南到y(tǒng)可能會暴露嚴重漏洞，并使攻擊者有機可乘，這可能導致服務提供商對用戶數(shù)據(jù)的完全泄露。根據(jù)數(shù)據(jù)的敏感性，此類漏洞會對用戶造成可大可小的影響，即有可能是泄露出你今天喝了多少杯水這樣的小事，也可能是窺測到你當前所在位置這樣更為嚴重的事件。

　　盡管對安全和隱私帶來了巨大的潛在風險，但是量化自我運動仍舊在快速增長，并在未來幾年內(nèi)都有望繼續(xù)保持增長。為了確保用戶能夠更加安全的繼續(xù)享受這類活動，賽門特別推薦以下安全實踐，以幫助用戶防范個人和自我追蹤信息泄露的風險。

　　1. 使用鎖屏或密碼防止他人對設(shè)備進行非授權(quán)訪問

　　2. 不要在不同網(wǎng)站上重復使用相同的用戶名和密碼

　　3. 使用安全性高的密碼

　　4. 不需要時關(guān)閉藍牙

　　5. 提防索要不必要或過多信息的網(wǎng)站和服務

　　6. 謹慎使用社交共享功能

　　7. 避免在社交媒體上分享詳細的位置信息

　　8. 避免使用非明顯顯示隱私政策的應用程序和服務

　　9. 閱讀并理解應用程序和服務的隱私政策

　　10. 為應用程序和操作系統(tǒng)進行更新

　　11. 使用基于設(shè)備的安全解決方案

　　12. 使用完整的設(shè)備加密服務