據(jù)英國《每日郵報(bào)》報(bào)道,美國研究人員近日警告說,現(xiàn)在流行的智能手表手環(huán)會(huì)泄露用戶的密碼。他們表示,通過入侵可穿戴設(shè)備的運(yùn)動(dòng)傳感器,用戶輸入密碼時(shí)的手勢可以被記錄,黑客便可以搜集到軌跡信息,猜出用戶輸入的數(shù)字,然后盜取ATM密碼。這聽上去是不是很可怕?
戴手環(huán)去ATM機(jī) 軌跡暴露密碼
據(jù)報(bào)道,美國賓漢姆頓大學(xué)和斯蒂文斯理工學(xué)院的研究人員發(fā)現(xiàn),可穿戴設(shè)備可用于竊取用戶的多種密碼。
這兩所大學(xué)的研究人員發(fā)表了題為《朋友還是敵人?可穿戴設(shè)備暴露了你的個(gè)人識(shí)別碼》 的論文。他們基于3種信息安全系統(tǒng)——包括ATM機(jī)——在11個(gè)月時(shí)間里由20名成人用戶,使用多種可穿戴設(shè)備進(jìn)行了5000次密碼輸入測試,收集智能手表和運(yùn)動(dòng)手環(huán)中嵌入式傳感器的數(shù)據(jù),并利用計(jì)算機(jī)算法去破解個(gè)人識(shí)別碼和密碼。首次嘗試的破解成功率達(dá)到80%,而三次嘗試后的成功率超過90%。
原理是什么呢?研究人員表示:“可穿戴設(shè)備能被攻破。攻擊者可以恢復(fù)出用戶手掌的運(yùn)動(dòng)軌跡,隨后獲得訪問ATM機(jī)、電子門禁,以及用鍵盤控制的企業(yè)服務(wù)器的密碼?!?br />
那如何“攻擊”呢?研究者表示攻擊者通過惡意軟件訪問手腕上可穿戴設(shè)備的嵌入式傳感器。惡意軟件等待用戶訪問基于密碼的安全系統(tǒng),并發(fā)回傳感器數(shù)據(jù)。隨后,攻擊者可以利用傳感器數(shù)據(jù)去探測受害者的個(gè)人識(shí)別碼。
這項(xiàng)研究幫助外界了解,可穿戴設(shè)備究竟會(huì)帶來什么樣的信息安全風(fēng)險(xiǎn)。目前,可穿戴設(shè)備的尺寸和計(jì)算能力還無法保證強(qiáng)大的安全措施,這也導(dǎo)致數(shù)據(jù)安全性更脆弱。
不少人喜歡24小時(shí)都戴著手環(huán)
昨天,記者找到了一組關(guān)于智能手環(huán)手表的研究數(shù)據(jù),數(shù)據(jù)表示,盡管智能穿戴設(shè)備的概念越來越火,市場上智能手表、智能手環(huán)等產(chǎn)品也開始設(shè)計(jì)得越來越酷炫,不過目前國內(nèi)還并沒有形成一個(gè)統(tǒng)一的行業(yè)標(biāo)準(zhǔn),造成市場上的產(chǎn)品參差不齊,在安全和隱私方面也沒有一個(gè)通用的標(biāo)準(zhǔn)能讓用戶放心使用。
數(shù)據(jù)顯示,2015年全年智能穿戴設(shè)備的發(fā)貨量為8500萬個(gè),有研究表明,到2021年,這個(gè)數(shù)字會(huì)增長36.9%。而在整體市場中,3000元以上的產(chǎn)品在關(guān)注度上占有一定優(yōu)勢;2000元-2999元的智能手表以及500元-999元的智能手環(huán)用戶關(guān)注度最為集中。
記者也發(fā)現(xiàn),生活中,越來越多的人選擇戴上了智能手環(huán)或手表,而他們對于功能使用中,最多的便是運(yùn)動(dòng)數(shù)據(jù)的記錄,比如步數(shù)和心率等,另外,不少人選擇用手環(huán)來監(jiān)測睡眠狀態(tài),以了解自己睡眠質(zhì)量是否好。
采訪中,記者注意到,正是由于現(xiàn)在不少智能手表和手環(huán)都有睡眠監(jiān)測功能,所以很多人選擇24小時(shí)戴著它,睡眠時(shí)也不例外。對于記者透露的“戴著智能手環(huán)輸入密碼可以記錄運(yùn)動(dòng)軌跡從而竊取銀行密碼”,大多數(shù)人表示難以置信。
專家:時(shí)間成本高 通過軌跡難判斷
以前我們都聽說過智能手表可以被黑客利用竊取GPS定位,更改佩戴者所在位置,不過,戴著它們輸入密碼就有可能被竊取密碼,聽上去確實(shí)“聳人聽聞”。那么,這種行為在我們的現(xiàn)實(shí)生活中究竟有沒有可能呢?又是何種原理,記者為此聯(lián)系到了南京信息工程大學(xué)計(jì)算機(jī)學(xué)院的信息安全專家沈劍教授。
沈劍認(rèn)為,對于這樣的研究,更多的是為了未來科技發(fā)展的可能性考慮,就目前生活而言,通過普通人手上的智能設(shè)備運(yùn)行軌跡判斷密碼,似乎成本還是有些高,也需要更多的時(shí)間破解,“我們輸入密碼時(shí),手部的動(dòng)作幅度其實(shí)是不大的,一般只是手指一點(diǎn)動(dòng)作,而智能設(shè)備在手腕上,來記錄手指的活動(dòng)軌跡,我們可以想象,軌跡是多么難以判斷?!彼f。
“與此同時(shí),黑客控制普通人的智能手環(huán)和手表,離我們生活還比較遠(yuǎn),只能說有這樣的可能性,但是,對于任何智能設(shè)備來說,被竊取任何信息都是有可能的,甚至一個(gè)充電寶或一根數(shù)據(jù)線即可,所以,我們沒有必要去特意防范。”沈劍表示。
最后,沈劍提醒,任何智能設(shè)備,都需要及時(shí)更新操作系統(tǒng),以免出現(xiàn)漏洞引起安全遺患,而且,一般智能手環(huán)手表都跟智能手機(jī)綁定,所以,他們的安全性其實(shí)是相連的,因此,只要正確使用,竊取密碼的可能性就很小。