Fitness wearables are apparently in superb shape when it comes to collecting your health data: Heart rate, sleep patterns, steps taken per day, calories burned, weight gain or loss, mile splits, stress levels, location – even sexual activity or how you’re doing in your effort to quit smoking.
但在数据保护和隐私保护方面,他们的处境很糟糕。
考虑到它们在使用中的数量,仅在过去的两年里,美国就售出了超过1300万台Statistica物联网专家和隐私倡导者发出了越来越多的声音警告,用户需要意识到他们的健康数据有多脆弱,以及这些数据如何被用于身份盗窃、歧视等。
健身追踪器的制造商 - 大腕是三星,卵石,Fitbit,苹果,颚骨,耐克,索尼,联想和LG - 通常强调他们对隐私的承诺,并说他们不“卖”了他们收集的数据。
但是,正如许多专家指出的那样,销售并不等同于分享或保护。Fortalice总裁兼首席执行官、前白宫首席信息官特蕾莎佩顿(Theresa Payton)表示,可穿戴健身设备和相关应用程序“在隐私和安全措施方面有不良记录。
特蕾莎佩顿他是Fortalice的总裁兼首席执行官
“罪魁祸首是创新生命周期,”她说。“我们面临着巨大的压力,要以令人眩目的速度将既酷又实惠的产品推向市场。这意味着把这些设备放在实验室里,然后像敌人一样攻击它们的时间太短或根本不存在。”
在硬件或同伴的应用程序产生的安全漏洞“经常让别人跟踪你的行踪还是你的模式,”她说。
虽然到目前为止还没有被报道的灾难性违约各大健身可穿戴的公司之一,克雷格·Spiezle,在线信任联盟(OTA)的执行董事,他说,“数据,并已与100 $轻易掳获关闭健身带和确定对手。随着越来越多的这些设备都积累数据,风险正在增加“。
虽然伊娃·贝拉斯克斯,身份盗窃资源中心(ITRC)的总裁兼CEO,说她认为健身可穿戴的数据是“一步向下”从电子健康档案(电子健康记录)隐私的价值,“包括足够的PII(个人身份信息)几乎立即提交ID盗窃,”跟踪器仍然包括‘敏感信息’。
她说,心率、体重、饮食记录、BMI(身体质量指数)和运动量等数据本身通常不足以让身份被盗用,“但这对隐私也有影响。”我们需要更仔细地审视它的价值所在,以及它对谁有价值。”
伊娃维拉斯他是身份盗窃资源中心的总裁兼首席执行官
事实上,Spiezle指出,即使它不包含特定的PII,“可穿戴设备上的数据对个人来说是独特的,而且在收集的数据类型上是超敏感的。”
它的价值,尤其是随着时间的积累,可能会非常重要,而且比用户预期的更为亲密。如果与保险公司共享,它可能会影响人们支付的费率。如果与雇主分享,可能会影响工作状态。
琼斯妈妈报道2014年1月,时任中情局首席技术官的伊拉亨特(Ira Hunt)在纽约市的一次数据会议上表示,中情局“喜欢这些东西(健身追踪器)”。最有趣的是,只要你走路的步态就能100%确定你是谁。”
最近,就在上个月,开放效应,以及公民实验室在全球事务的多伦多大学蒙克学院发布的一份报告标题为“你假装的每一步:健身追踪器隐私和安全的对比分析”。他们研究了8款流行的健身追踪器,发现除了Apple Watch之外,所有的追踪器都“通过蓝牙无线发送一个持久的唯一标识符”。这种泄露让第三方,如购物中心或其他对基于位置的监控感兴趣的机构,能够收集和绘制出人们随着时间的移动。”
研究还发现漏洞,这些漏洞允许用户或入侵者操纵产生的数据,这将伪造的活动水平。
另一个隐私问题是几乎所有连接设备都存在的:服务条款和隐私政策很长,很复杂,很难阅读——大多数都是4000字或更多。除此之外,如果用户没有勾选“同意”,即“同意”政策,那么在很多情况下,设备或应用程序可能会限制功能,或者根本不能使用。
毫不奇怪,专家一致认为,大多数用户只需选中该复选框没有阅读的政策。这使他们的信息处于危险之中。联邦贸易委员会(FTC)报道2014年,他们研究了十几个健康和健身应用程序,发现它们在向76个第三方集体传播数据。仅一个应用程序就与其他18个实体共享数据。
同样在2014年,美国联邦贸易委员会消费者保护局(FTC)局长杰西卡•里奇(Jessica Rich)表示,健身追踪器的数据最终可能会落入数据经纪人或其他公司的手中,并最终被用来“向(用户)推销其他产品和服务;决定(他们)是否有资格获得信贷、就业或保险;并与其他公司分享。”
即使是自愿与雇主或保险公司分享,其结果也可能不受欢迎。委拉斯开兹说:“一开始,我们可能会把这看作是人们在医疗或人寿保险上休息的好办法。”“但如果我体重增加了20磅,而我的保险公司知道我已经停止了定期锻炼,那该怎么办?”我认为它首先是一种选择,然后是强制性的,如果没有达到标准,就会受到惩罚。”
她还指出,如果用户将他们的健身数据分享给他们的健康服务提供商,那么健康服务提供商就会被攻破,“这可能是他们信息的另一个入口点。”
怎样处理这两种风险已经促使激烈的讨论,也是一些私营部门举措的主题。
OTA大约在一年前成立了物联网可信工作组,此后一直如此发布了“物联网信任框架”- 构建安全和隐私为连接设备30个原则。Spiezle也放缓在题为在旧金山举行的RSA会议上面板中的“扩散物联网定时炸弹 - 安全和行为的隐私信任的代码”,其中讨论了这些原则。
在IEEE中心的安全性设计最近发布的一份文件题为《WearFit:可穿戴健身追踪器的安全设计分析》(WearFit: Security Design Analysis of a Wearable Fitness Tracker)的文章“创建”了一款虚拟的可穿戴设备,旨在展示健身追踪器开发者如何设计一款“解决软件安全设计十大缺陷中的每一个”的设备。
该中心的联合创始人、该报告的主要作者雅各布·韦斯特(Jacob West)表示,他并不认为健身追踪器的安全漏洞比其他消费设备更多,“但对任何产品公司来说,挑战在于在安全性、功能性和可用性之间找到合适的平衡。”
为了解决这个问题,他说,“我们需要把重点从简单的查找和修复漏洞扩展到避免设计缺陷。”
雅各西他是IEEE安全设计中心的联合创始人
韦斯特还说,他认为市场压力可能有效。他说,更加知情的消费者“了解安全和隐私,并基于这些知识做出购买决定”,可能会改善安全和隐私。
委拉斯开兹对市场智慧有点怀疑。她说:“过去市场(在产品改进方面)一直失败。”但它确实对客户流失做出了回应。
“应该这样写:‘今天你不担心,但按照我们的步伐,五年后你就会担心。’”
美国消费者联合会(consumer Federation of America)消费者保护主任苏珊·格兰特(Susan Grant)也持同样的怀疑态度。她说:“(有关违规行为的)负面宣传是有帮助的,但还不够,因为并非所有公司愿意做的事情都会暴露出来。”
格兰特呼吁在联邦层面上制定一项更强有力的“一般”隐私法,“或者至少制定一项具体的法律,涵盖那些尚未受法律约束的医疗设备和服务。”
Spiezle呼吁消费者对如何使用他们的数据有一个真正的选择。“不接受(隐私政策)不应该影响产品的核心功能,”他说。
克雷格Spiezle他是在线信任联盟的执行董事
但佩顿说,现实情况是,如果消费者在使用联网设备时真的想保护自己的隐私,“不要等政府或行业来帮你做。”这些标准还在不断发展,等到被采用的时候,就已经过时了。”
佩顿提供了一些建议来帮助你自己:
- 给设备的名称,是不是您的真实姓名。
- 为你的设备和相应的帐户分配唯一的强密码。
- 不管是否乏味,请阅读隐私政策。大多数都说明了如何使用您的数据。然后确保你的隐私设置在使用它时不会传播你的行踪。
她说:“许多设备的设计初衷是开放和社交的,你可能会无意中说出你的个人信息和数据。”
Spiezle建议,是时候让该行业感到羞愧,从而提供更好的安全措施了。他说:“在上周的会议上,一个大品牌告诉我,保护这款设备的成本将为11美分,这可能会影响电池的寿命,因此不做任何改变。”“这就像福特不愿意保护平托的油箱一样。”
这篇文章名为《可穿戴设备:谁在跟踪谁?CSO 。