AR其實并不是什么新出現(xiàn)的技術(shù),但是近段時間以來PokemonGo 的大熱也隨之帶動了 AR 這一概念在大眾中的普及��,F(xiàn)階段智能手機的計算能力已經(jīng)能夠支持一些輕量級
AR應(yīng)用的運行,加上導(dǎo)航與追蹤技術(shù)的發(fā)展,似乎現(xiàn)在大家都已經(jīng)習慣在日常生活中利用手機來確認自己的位置信息�����。雖然手機的這一功能的確是讓我們的生活變得更加方便了,然而另一方面,這也存在著暴露個人信息的風險�。
這種安全隱患不僅在個人使用手機的情況下存在,對于企業(yè)來說也存在同樣的風險�。試想一下,如果公司一位員工在不知道如何操作打印機的情況下,通過使用設(shè)備掃描打印機來獲取幫助;又或者是公司的維護工程師用平板掃描一些主要電器設(shè)備來進行維修……
這些都是非常有可能實現(xiàn)的 AR 用法,也非常有利可圖,然而卻存在著泄漏公司機密的風險。
信息的傳輸需要通過網(wǎng)絡(luò)進行,于是關(guān)于IP地址�、地理方位、設(shè)備類型�、用戶權(quán)限以及等等其他信息也會一并包含在傳輸內(nèi)容之中。如果有人中途攔截了這些傳輸數(shù)據(jù),也就得到了所有這些個人信息��。這并不是危言聳聽,事實已經(jīng)證明,PokemonGo 玩家的數(shù)據(jù)能夠采用這種方式被成功攔截����。
正因為這樣,所以也就不能理解為什么美國五角大樓官員以及以色列的國防部門官員被禁止玩
Pokemon Go,這是為了保護國家的安全信息不被泄漏��。那么對于其他機構(gòu)而言,AR 還會帶來哪些潛在安全隱患,又應(yīng)該要才去什么措施來預(yù)防呢?
這些可能遭到泄漏的數(shù)據(jù),都有哪些?
為了更清楚地說明這個問題,讓我們先來看看
AR 網(wǎng)絡(luò)數(shù)據(jù)的類型,看看其中將會包含哪些信息��。Ixia 以及致力于計算機安全研究的非盈利小組威脅情報 Threat Intelligence
的研究人員最近分析了 Pokemon Go 這款應(yīng)用與 Niantic 服務(wù)器之間的傳輸數(shù)據(jù)內(nèi)容,并且發(fā)現(xiàn)了其中一些安全問題�。
為了根據(jù)玩家的周圍環(huán)境給他們傳輸合適的蝎靈信息,PokemonGo 需要獲取玩家的地理位置����。再加上其他個人信息(不要忘記,在一開始的 Pokemon Go
用戶協(xié)議中就包含獲取用戶的谷歌賬戶、使用以及搜索記錄等權(quán)限),要完全掌控一個人的個人隱私信息和行為模式完全不是什么難事��。這些信息對于想要實施網(wǎng)絡(luò)犯罪的人而言就非常有利用價值了��。
另外,PokemonGo 的交流工具是基于 HTTPS 的,早期安裝的版本不支持證書鎖定,對于有意想要攔截信息的罪犯而言,無疑又減少了一道阻礙����。
正因如此,這類AR 應(yīng)用的安全性就變得至關(guān)重要��。萬一出現(xiàn)任何漏洞,用戶的個人信息就會輕易被竊取�����。AR 應(yīng)用之所以比一般傳統(tǒng)的應(yīng)用更需要保密用戶信息,關(guān)鍵就在于因為 AR
要把用戶的真實信息與數(shù)字信息疊加起來,因此需要對用戶的周圍環(huán)境有更深度的認識,除了地理位置,還有購物歷史��、經(jīng)濟狀況以及其他更加核心的個人信息�。想必每個人都不想自己的隱私被窺探吧����。
堤防惡意軟件
接下來看看惡意軟件的影響�����。就在Pokemon Go 發(fā)布四天后,一些網(wǎng)絡(luò)不法分子就制作了一個盜版 Pokemon Go,并在其中植入了惡意插件,這相當于給其他的 AR應(yīng)用提供了一個便捷的犯罪手段模板��。這些惡意軟件幾乎能夠從各個方面竊取用戶的隱私,通過用戶的鍵盤記錄器證書,遠程控制木馬,獲取用戶的數(shù)據(jù),從而影響用戶整個終端設(shè)備的運行,
如何更好地應(yīng)用
AR?正因為上述原因,提前才去防護措施就變得格外重要����。在下一個爆款A(yù)R 應(yīng)用推出之前,事先想好要如何在使用 AR 給我們的生活帶來便利的同時,防止個人信息的泄漏已經(jīng)變成了亟需解決的問題。
∩以從三個方面考慮��。一是移動終端的管理解決方案,這是因為像Pokemon Go 這樣的 AR應(yīng)用都是依托移動終端運行的����。二是員工培訓(xùn),提高他們的防范意識,因為很多信息都是泄漏都是因為人們的大意而發(fā)生的。
第三則是實現(xiàn) APP
流量監(jiān)控可視化��。要防止敏感信息的泄漏,用戶需要學(xué)會如何全面實時地監(jiān)控自己的流量使用情況,萬一發(fā)現(xiàn)任何異常才可以立馬采取措施�����,F(xiàn)在已經(jīng)有不少這樣的監(jiān)控工具,包括應(yīng)用層過濾以及加密流量傳輸?shù)鹊��。如果沒有這樣點對點的監(jiān)控,AR應(yīng)用很容易會將公司的機密泄露出去
投稿郵箱:chuanbeiol@163.com 詳情請訪問川北在線:http://www.dstuf.com/
