【连网】 据英国《每日邮报》网站报道,美国研究人员近日警告说,智能手表之类的可穿戴设备会泄露用户的密码。他们表示,通过入侵可穿戴设备的运动传感器,黑客可以搜集到足够的信息,猜出用户输入的文字,然后盗取ATM密码。
美国宾汉姆顿大学托马斯-沃特森工程与应用科学学院计算机科学助理教授王彦(音译,Yan Wang):“可穿戴设备可以被黑客利用。攻击者可以复制用户手部的活动轨迹,然后复原ATM机、电子门锁以及由按键控制的企业服务器的登陆密码。”
在这项研究中,科学家将来自可穿戴产品(如智能手机和健康追踪系统)嵌入式传感器的数据,与计算机算法相结合,破解个人识别码(PIN)和密码,第一次破解尝试的准确率达到80%,而三次以后的准确率超过90%。
研究人员要求20个成年人穿戴各种高科技设备,在11个月的时间内利用三种基于密钥的安全系统,进行了5000次密钥登陆测试,这其中就包括ATM机。无论用户的手部姿势如何,这个研究团队都可以记录细微的手部运动信息——这些信息来自于可穿戴设备内置的加速度计、陀螺仪和磁力仪等。
这些测量数据可以帮助研究人员预估连续击键之间的距离和方向,然后使用“反向PIN序列推导算法”来破解编码,而且根本不需要有关按键的前后关系线索,准确率高的惊人。王彦的研究团队称,这也是第一项盗取个人PIN代码的特别技术——该技术利用可穿戴设备泄露的信息,不需要前后关系信息。
王彦说:“这种威胁是真实存在的,尽管方法很复杂。目前黑客已经实现了两种攻击手段:内部攻击和嗅探攻击(sniffing attack)。在内部攻击中,攻击者通过恶意软件,进入戴在手腕上的可穿戴设备的嵌入式传感器。”
“在受害者访问基于密钥的安全系统时,恶意软件便伺机而动,搜集传感器的数据并发送回去。然后,攻击者可以聚合传感器数据以破解受害者的PIN码。此外,攻击者还可以在基于密钥的安全系统附近放一个无线嗅探器,窃听可穿戴设备通过蓝牙发送至受害人相关智能手机上的数据。”
王彦的研究小组表示,目前他们尚处于发现可穿戴设备安全漏洞的早期阶段。尽管可穿戴设备能够追踪健康和医疗活动,但是这种设备的大小和计算能力,让用户无法实现强大的安全措施,这使得设备里面的数据更容易遭到攻击。
王彦的团队在当前研究中并未给出解决这个问题的方案,不过他们建议开发者“给数据注入某种类型的‘噪音’,这样它就不能被用于追踪细微的手部运动,同时又能有效地完成健身追踪功能,例如活动识别和计步等。”
王彦的研究团队最后还建议,应该在可穿戴设备和主操作系统之间进行更好的数据加密。