近日，支付宝开放平台发布《支付宝可穿戴设备安全支付规范》。

该规范分析显示，可穿戴设备安全威胁主要有三。

一是本地安全威胁，包括攻击者获取硬件调试能力，从而控制设备运行；攻击者篡改或替换设备固件；收集、存储的个人信息等敏感数据被泄露等。

二是远程通信安全威胁，包括攻击者篡改或替换固件更新包，或者使用包含已知漏洞的旧版本固件替换固件更新包；设备与手机/支付云平台之间的通信被劫持，造成设备绑定到其他的手机或云平台；设备与手机/支付云平台之间的传输的支付凭证被泄露、篡改、伪造等。

三是业务自身安全威胁，包括攻击者窃取设备，使用离线支付功能进行支付，损害用户利益；用户账号与错误的设备进行绑定，从而损害用户利益；攻击者窃取、篡改或替换设备上存储的设备凭证、支付凭证；恶意应用非授权访问支付应用存储的支付凭证等数据。