增强现实技术(Augmented Reality,以下简称AR) 已不是什么新鲜事了,但最近随着Pokémon GO游戏持续火爆,我们不得不承认,一场技术进步和文化变迁的共同产物――AR时代已经来临。
事实上,现在的移动设备已经具有足够的计算处理能力和连接能力支持AR,尽管这里存在着潜在的隐私泄露风险。而我们每个人也都已习惯于设备的实时在线、实时定位,这些也逐渐成为了我们日常生活的一部分。
然而由于越来越多AR应用不断涌现,AR将对企业的网络和安全造成重大影响。而那些未做好充分准备的企业,必将面临真正的安全风险。您可以试想一下,如果某位员工只要将他的AR设备指向办公室的某一台打印机,他便可以立刻看清楚打印机从墨盒更换到清除卡纸的每一个步骤;再比方说,变电站的维护工程师利用平板电脑就可以了解某些关键设备的维修信息。以上这两种场景均属于AR技术的应用,从中我们也可以看到AR蕴藏的巨大商业潜力。
但同时我们也不难看出AR技术本身存在的风险,实现所有这些神奇功能的流量将会经过您的网络,而这期间也将会暴露您的诸多细节信息:IP地址、位置、设备类型、用户许可等等。如果黑客可以窃取这些流量,事实上黑客们已经能够窃取到Pokémon GO游戏者的流量――那么他们又将泄露用户的哪些信息呢?
有鉴于此,美国五角大楼和以色列国防军已全面禁止其员工下载 Pokémon GO游戏,因为该应用可能会对它们的安全造成影响。那么AR将给企业带来哪些真正的风险呢?又该如何避免这些风险呢?
数据中都包含什么?
为了了解这一点,让我们先来看看AR应用所产生的网络流量类型,以及它会泄露哪些信息。 Ixia的应用和威胁情报研究人员最近对Pokémon GO应用和任天堂服务器(该应用的开发商)之间的通讯进行了分析,并获得了一些有关安全问题的重要发现。
Pokémon GO正如其他AR应用一样,采用了设备的位置数据,根据用户周围环境向其提供适当信息。所以我们不难想象,黑客在将用户的位置数据与其他个人信息相结合后(不要忘记最初的 Pokémon GO用户协议允许任天堂公司访问用户信息,包括Google个人页面,浏览历史和之前的搜索),就能够轻松描绘出该用户行为的详细画面。所以此类信息在犯罪分子眼中是极具价值的。
同时, Pokémon GO应用与服务器之间的通讯是通过HTTPS完成的,但是该应用的早期版本不支持证书锁定(certificate pinning), 极易被“中间人”利用并拦截数据。
因此,我们不难看出AR应用暴露的用户特定数据,就像它们的正常功能部分一样,一旦应用安全存在任何漏洞,黑客边有可能趁虚而入窃取和操纵数据。而问题的关键是,AR的本质就是为用户提供个性化个人情境,即:现实增强版。这意味着,AR应用必须接入一些个性化数据才能提供服务――包括:位置信息、购物记录、财务信息或任何其他信息。您难道希望这些信息流出您的企业内网吗?
恶意软件
接下来还有恶意软件的问题。就在 Pokémon GO发布后第四天,网络罪犯团伙就创建了一个假的Pokémon GO版本,并嵌入恶意软件,这样就可以给犯罪份子提供了一个非常方便的手段,可以将恶意软件植入到其他的新的AR应用中。AR应用中的恶意软件几乎难以胜数,例如用于捕捉用户登录信息的键盘记录器;设备被感染之后能够浑然不觉地进行数据窃取和通讯的移动远程访问木马(mRAT);再或者是通过设备向网络下载恶意软件的代理程序。
谁来管控?
因此,各企业现在必须考虑如何针对网络中的AR应用进行最佳管理和控制,以便在下一次AR热潮到来之前抢占先机,并且提前部署安全防护措施。
您需要考虑三个重要因素,首当其冲是您的移动设备管理(MDM) 解决方案,因为类似 Pokémon GO 这样的AR应用大多都集中于智能手机应用市场。其次,员工培训和安全意识也非常重要,人为错误和疏忽往往是网络犯罪份子瞄准的关键薄弱点。
第三个关键因素则是您网络中应用流量的可视性,为了防止敏感数据泄露或恶意数据入侵,您必须在任何时候都能全面、实时地监测您的网络流量。许多已有的工具和解决方案都能帮助您获得此等可视性;而您真正需要的是智能过滤和分发功能,涵盖整个7层应用流和加密流量,并以线速运行、零丢包率等。如果缺少这种端到端的可视性,“增强现实”很可能就会为您的企业带来“增强的风险”。