当心智能手表泄露取款密码

■ 文/木 须

当心智能手表泄露取款密码

■ 文/木 须

智能穿戴设备存安全风险

攻击者可以利用可穿戴设备来收集用户的密码输入操作，并将这些信息发送回与之相连的智能手机中，而这些信息通常都是通过蓝牙设备发送的。

美国研究人员也表示，智能手表等穿戴设备和产品可能存在泄露用户密码的风险。

7月8日，据《每日邮报》网络版报道，业内相关分析人士认为，随着可穿戴设备的品类不断增多，其安全性可能会引发新一轮的担忧。而美国研究人员也表示，智能手表等穿戴设备和产品可能存在泄露用户密码的风险。

智能穿戴安全问题一直存在

自可穿戴设备问世以来，高大上的光环一直未消退，甚至有人认为可穿戴设备将成为颠覆传统、开创未来的次时代产品，然而几年过去了，可穿戴设备仍停留在媒体曝光度很高的镁光灯下，很少出现在人们的生活里。智能可穿戴设备为啥飞不起来？

首先，目前国内还没有形成行业标准，导致产品水平参差不齐。包括充电速度、工业设计、数据采集与传输、传感器的精确度等等都没有确切的标准尺度，以至于从几千元到几十元的产品都可以称自己为可穿戴设备。

大众对可穿戴设备另一个不感冒的理由是，大多数功能既无创新又不实用。以某品牌智能手环为例，其提供的计步和睡眠监测功能，在徒有数据却没有服务的情况下对不少人来说是没用的。有数据显示，87%的流失用户使用可穿戴设备的时间不超过3个月。

业内人士认为，除前面的原因外，最重要的是因为安全问题。现阶段，智能手环和智能手表仍是可穿戴设备的主流，相比于智能手机系统的逐步完善，智能设备的操作系统不管是在服务上还是在安全上仍处于初级阶段。一旦这些可穿戴设备遭到病毒攻击，数据安全和设备安全将会毫无还手之力。另外，部分厂商为了增加产品可玩性，利用GPS或手机APP记录了用户的运动轨迹，一旦云端数据泄漏，用户将可能会被“跟踪”，令人身安全受到威胁，甚至还可能令你遭受财产损失。

智能穿戴设备是如何泄密的呢？

据了解，对于智能可穿戴设备的用户，攻击者可以复制用户手部的活动轨迹，然后复原ATM机、电子门锁以及由按键控制的企业服务器的登录密码。当然，通过入侵可穿戴设备的运动传感器，黑客就会搜集到足够的信息，进而猜出用户输入的内容，然后盗取其ATM密码。

近期，一群来自宾汉姆顿大学的科学家对这类设备进行了研究。研究人员表示，“这种威胁是真实存在的，尽管方法很复杂。但就目前来说，黑客已经实现了两种攻击手段：内部攻击和嗅探攻击。在内部攻击中，攻击者通过恶意软件，进入戴在手腕上的可穿戴设备的嵌入式传感器，可以从目标用户每分钟的行为动作中提取出有价值的信息，然后在计算机算法的帮助之下，破解出用户所输入的PIN码或安全密码。”

据悉，在整个试验过程中，研究人员要求20个成年人穿戴各种高科技设备，在11个月的时间内利用三种基于密钥的安全系统，进行了5000次密钥登陆测试，其中包括ATM机。这些测量数据可以帮助研究人员预估连续击键之间的距离和方向，然后使用“反向PIN序列推导算法”来破解编码，而且根本不需要有关按键的前后关系线索，准确率很高。

·在日常生活中，可穿戴设备可以贴近取款机密码键盘或者其他的一些基于实体键盘的密码安全系统。·很多健身跟踪设备中存在设计缺陷，这些设备无法有效地保护用户数据的安全性。

研究人员表示:“在此次研究过程中，我们发现攻击者可以利用可穿戴设备来识别出目标用户惯用手的行为动作，其在移动距离和方向上的分辨度可达到毫米级别。这也就意味着，攻击者可以在计算机中模拟重现用户佩戴手的移动轨迹，并进一步恢复出用户输入的密码信息。值得一提的是，我们的系统目前已经确认，攻击者将有可能从可穿戴设备的嵌入式传感器中提取出用户佩戴手的移动轨迹，例如加速度计，陀螺仪，以及磁力计等装置。攻击者可以从中提取出用户佩戴手的移动轨迹，并通过用户的操作手势提取出输入的密码。我们的PIN码序列逆向推演算法可以利用密码按键之间的固有物理约束（距离）来推测出用户输入的完整密码序列。”

王彦是宾汉姆顿大学计算机科学学院的一名助理教授，同时他也是此次研究的参与者之一。根据他的描述，安全研究专家在首次破解尝试中，其破解出来的密码正确率就高达80%。在随后的三次破解尝试中，破解出来的密码正确率全部超过了90%。如果能够对算法做进一步的改进，增大数据记录的范围，并增加更多的键盘种类，他们就可以获取到更多的可穿戴设备数据。这样一来，破解出来的密码准确率还能够提高至少19%。虽然目前这种攻击方式还停留在理论研究阶段，但是由此看来，可穿戴设备的数据安全防范研究已经成为了眼下的当务之急了。

他说到:“据我们目前所知，之前还没有这样的技术。我们的新技术可以在不需要标记用户行为数据的情况下，利用可穿戴设备来恢复出目标用户的个人PIN码。”

虽然这听起来让人感觉有些不可思议，但是攻击者如何在现实生活中使用这样一种极其复杂的攻击方式呢?

有一种可行的方法就是利用恶意软件来感染用户的可穿戴设备，将恶意软件伪装成安全工具，在设备后台收集用户的手腕运动信息，并将这些信息发送给攻击者进行下一步分析。

除此之外，王彦提出了一种设想。在日常生活中，这种可穿戴设备可以贴近取款机密码键盘或者其他的一些基于实体键盘的密码安全系统。这也就意味着，攻击者可以利用可穿戴设备来收集用户的密码输入操作，并将这些信息发送回与之相连的智能手机中，而这些信息通常都是通过蓝牙设备发送的。

当然了，这种特定的攻击方式依赖于智能手机与传感器设备的数据同步情况。要求用户在输入取款机密码时，设备能够将用户的手势动作实时传输至与之相连的智能手机中。

此前所进行过的一些研究已经证实了，很多健身跟踪设备中存在设计缺陷，这些设备无法有效地保护用户数据的安全性。这也就意味着，攻击者可以利用这些设计缺陷来对用户进行攻击，而这种情况其实也并不少见。

安全研究专家所描述的这种攻击方式在短时间内不太可能被广泛应用。尽管如此，但这项研究仍然是非常有趣且非常具有想象力的。除此之外，有些情报机构和执法部门很可能会利用这种攻击方式来对某些他们所感兴趣的目标进行攻击，所以这项研究从某种程度上来说，可以提升用户的安全性。X