可穿戴式運算裝置正在改變人類與科技互動的方式,而且這樣的轉換會導致必須被關注的安全性衝擊;那一類裝置與我們的日常生活緊密結合,感測並傳輸我們的活動與健康資料,讓我們長期以來在桌上型電腦與網路應用程式所遭遇的安全風險以新形態呈現。

IEEE旗下的網路安全計畫之安全設計中心(Cybersecurity Initiative’s Center for Secure Design),最近發表了一份題為「WearFit:可穿戴式健身追蹤裝置的安全設計分析」報告,透過分析可穿戴式裝置的設計,針對安全軟體設計原則與做法提供了實際的見解。

該份報告是以一種虛構的健身追蹤裝置「WearFit」設計為基礎,但反映了市面上的實際產品; 報告是以WearFit的軟硬體架構綜覽為開端,並詳細介紹了溝通健康資料與後端網站、完善了整個裝置生態系統的行動應用程式。

在報告中採用了另一份IEEE報告「避免前十大軟體安全性設計缺陷(Avoiding the Top 10 Software Security Design Flaws)」中的模型,讓讀者了解安全性設計決策為何是對WearFit系統最重要的元素;這項工作是由IEEE網路安全計畫下的安全設計中心所完成,其任務是將軟體產業的關注焦點,由反應性的搜尋錯誤轉向更積極的、避免弱點的安全性設計。

報告中的WearFit系統內含可向整個系統證明它們身份的、各自的信任憑證需求(trust requirements)以及功能;不肖人士為了竊取使用者的健康資料,可能會利用仿冒的可信任零組件,但恰當設計的系統能因應這種情況。這種信任憑證只會在一旦零組件主動於受保護的通訊頻道建立彼此的身分時出現。

WearFit裝置採用配對的程序來建立與在行動裝置上執行的應用軟體之間的信任憑證,雙方都以可視方式呈現相同的標記(token),因此使用者能驗證其匹配;一旦使用者確認其匹配,每台裝置會儲存另一台裝置的身分,從那時候開始裝置之間就建立了信任關係並能進行通訊。

筆者想強調的是,安全設計並不總是與安全性功能相關;一般說來,若設計缺陷出現在設計的非安全特定方面,仍然會影響其安全性。事實上,在上述報告中所討論到的絕大多數安全設計缺陷,都會衝擊安全性但與非安全性功能相關。

當一個程式設計師犯了程式碼的錯誤,可能導致安全性的缺陷並引發攻擊,波及軟體系統的保密性、完整性或可用性;反過來說,安全性缺陷是不良設計決策的後果--也就是該系統被設計去做的某件事,但從安全性的角度來看是不明智的。

舉例來說,一個系統可能被設計成允許簡單的任意密碼任爭、甚至是容易被猜到的,這就是一種讓系統有被攻擊風險的設計缺陷,但並非是程式設計師犯的錯,缺少的只是要求強密碼的密碼機制。

編譯:Judith Cheng

(參考原文: Wearables Pose New Security Risks,by Jacob West;本文作者為NetSuite安全性產品架構長、IEEE安全設計中心創始成員)