Scott+Register

增强现实技术（Augmented Reality，以下简称AR）已不是什么新鲜事了，但最近随着Pokémon GO游戏持续火爆，我们不得不承认，一场技术进步和文化变迁的共同产物—AR时代已经来临。

事实上，现在的移动设备已经具有足够的计算处理能力和连接能力支持AR，尽管这里存在潜在的隐私泄露风险。而我们每个人也都已习惯于设备的实时在线、实时定位，这也逐渐成为我们日常生活的一部分。

然而，由于越来越多AR应用的不断涌现，AR将对企业的网络和安全造成重大影响。而那些尚未做好充分准备的企业，必将面临真正的安全风险。可以试想一下，如果某位员工只要将他的AR设备指向办公室的某一台打印机，他可以立刻看清楚打印机从墨盒更换到清除卡纸的每个步骤；再比方，变电站的维护工程师，利用平板电脑就可以了解某些关键设备的维修信息。以上这两种场景均属于AR技术的应用，从中我们可以看到，AR蕴藏的巨大商业潜力。

但同时也不难看出，AR技术本身存在的风险，实现所有这些神奇功能的流量将会经过您的网络，而这期间也将会暴露你的诸多细节信息：IP地址、位置、设备类型、用户许可等等。如果黑客可以窃取这些流量，事实上黑客们已经能够窃取到Pokémon GO游戏者的流量——那么，又将泄露用户的哪些信息呢？

有鉴于此，美国五角大楼和以色列国防军，已全面禁止其员工下载Pokémon GO游戏，因为该应用可能会对其安全造成影响。那么，AR将给企业带来哪些真正风险呢？又该如何避免这些风险呢？

数据中都包含什么？

为了了解这一点，我们先来看看AR应用所产生的网络流量的类型，以及它会泄露哪些信息。 Ixia的应用和威胁情报研究人员，最近对Pokémon GO应用和任天堂服务器（该应用的开发商）之间的通讯进行了分析，并获得了一些有关安全问题的重要发现。

Pokémon GO正如其他AR应用一样，采用了设备的位置数据，根据用户周围环境，向其提供适当信息。所以我们不难想象，黑客在将用户的位置数据与其他个人信息相结合后（不要忘记最初的Pokémon GO用户协议允许任天堂公司访问用户信息，包括Google个人页面，浏览历史和之前的搜索），就能够轻松描绘出该用户行为的详细画面。所以，此类信息在犯罪分子眼中，是极具价值的。

同时，Pokémon GO应用与服务器之间的通讯，是通过HTTPS完成的，但是，该应用的早期版本并不支持证书锁定（certificate pinning）， 极易被“中间人”利用并拦截数据。

因此，不难看出，AR应用暴露的用户特定数据，就像它们的正常功能部分一样，一旦应用安全存在漏洞，黑客就有可能趁虚而入，窃取和操纵数据。而问题的关键是，AR的本质就是为用户提供个性化个人情境，即现实增强版。这意味着，AR应用必须接入一些个性化数据，才能提供服务—包括：位置信息、购物记录、财务信息或任何其他信息。难道希望这些信息流出企业内网吗？

恶意软件

接下来还有恶意软件问题。就在 Pokémon GO发布后的第四天，网络罪犯团伙就创建了一个假的Pokémon GO版本，并嵌入了恶意软件，这就给犯罪份子提供了一个非常方便的手段，可以将恶意软件植入到其他新的AR应用中。AR应用中的恶意软件几乎难以胜数，例如用于捕捉用户登录信息的键盘记录器；感染设备之后，能够浑然不觉地进行数据窃取和通讯的移动远程访问木马（mRAT）；再者是，通过设备向网络下载恶意软件的代理程序。

谁来管控？

因此，各企业现在必须考虑，如何针对网络中的AR应用进行最佳管理和控制。以便在下一次AR热潮到来之前抢占先机，并提前部署安全防护措施。

您需要考虑三个重要因素，首当其冲是移动设备管理（MDM）解决方案，因为类似 Pokémon GO 这样的AR应用大多都集中于智能手机应用市场。其次，员工培训和安全意识也非常重要，人为错误和疏忽往往是网络犯罪份子瞄准的关键薄弱点。

第三个关键因素是网络中应用流量的可视性，为了防止敏感数据泄露或恶意数据入侵，必须在任何时候都能全面、实时地监测网络流量。许多已有的工具和解决方案，都能帮助获得此等可视性；而真正需要的是智能过滤和分发功能，涵盖整个7层应用流和加密流量，并以线速运行、零丢包率等。如果缺少这种端到端的可视性，“增强现实”很可能就会给企业带来“增强的风险”。