智能石英钟和手环都能走漏信用卡密码,智能电子表手环会走漏隐秘

作者:金沙互联网    发布时间:2020-02-12 03:31    浏览:

[返回]

7月8日,据英国《每日邮报》报道,美国研究人员近日警告说,现在流行的智能手表手环会泄露用户的密码。他们表示,通过入侵可穿戴设备的运动传感器,用户输入密码时的手势可以被记录,黑客便可以搜集到轨迹信息,猜出用户输入的数字,然后盗取ATM密码。这听上去是不是很可怕?

近年来,智能手环、智能手表兴盛。这些可穿戴智能设备,从功能和价位来看,大概可以分为三个层级:没有任何按键主要用作计步工具的手环;带有屏幕能及时转发来自手机信息提醒的手环;更高级的可安装应用软件的Apple Watch和各种品牌的AndroidWear手表。

戴手环去ATM机 轨迹暴露密码

这些风格多样的可穿戴智能设备,在督促我们更加关注自身健康的同时,会不会泄露我们的隐私呢?来看我们的实验吧!

据报道,美国宾汉姆顿大学和斯蒂文斯理工学院的研究人员发现,可穿戴设备可用于窃取用户的多种密码。

>>实验时间:9月20日

这两所大学的研究人员发表了题为《朋友还是敌人?可穿戴设备暴露了你的个人识别码》 的论文。他们基于3种信息安全系统——包括ATM机——在11个月时间里由20名成人用户,使用多种可穿戴设备进行了5000次密码输入测试,收集智能手表和运动手环中嵌入式传感器的数据,并利用计算机算法去破解个人识别码和密码。首次尝试的破解成功率达到80%,而三次尝试后的成功率超过90%。

>>实验地点:华商报社

原理是什么呢?研究人员表示:“可穿戴设备能被攻破。攻击者可以恢复出用户手掌的运动轨迹,随后获得访问ATM机、电子门禁,以及用键盘控制的企业服务器的密码。”

>>实验人员:华商报记者

那如何“攻击”呢?研究者表示攻击者通过恶意软件访问手腕上可穿戴设备的嵌入式传感器。恶意软件等待用户访问基于密码的安全系统,并发回传感器数据。随后,攻击者可以利用传感器数据去探测受害者的个人识别码。

>>实验设备:

这项研究帮助外界了解,可穿戴设备究竟会带来什么样的信息安全风险。目前,可穿戴设备的尺寸和计算能力还无法保证强大的安全措施,这也导致数据安全性更脆弱。

热心市民马波、马翔、常荣莉提供的小米手环、三星Gear Fit手环、Apple Watch各一个,苹果手机一部、安卓手机一部、iPad一部

不少人喜欢24小时都戴着手环

金沙城娱乐场官网平台,>>实验顾问:

昨天,记者找到了一组关于智能手环手表的研究数据,数据表示,尽管智能穿戴设备的概念越来越火,市场上智能手表、智能手环等产品也开始设计得越来越酷炫,不过目前国内还并没有形成一个统一的行业标准,造成市场上的产品参差不齐,在安全和隐私方面也没有一个通用的标准能让用户放心使用。

西安电子科技大学网络与信息安全学院副教授、教育部信息安全团队骨干成员杨超

数据显示,2015年全年智能穿戴设备的发货量为8500万个,有研究表明,到2021年,这个数字会增长36.9%。而在整体市场中,3000元以上的产品在关注度上占有一定优势;2000元-2999元的智能手表以及500元-999元的智能手环用户关注度最为集中。

新闻背景

记者也发现,生活中,越来越多的人选择戴上了智能手环或手表,而他们对于功能使用中,最多的便是运动数据的记录,比如步数和心率等,另外,不少人选择用手环来监测睡眠状态,以了解自己睡眠质量是否好。

国内某电视媒体近日报道了一场实验,他们请一位技术人员戴着手环在房间内活动,另一位技术人员在另一房间内破解手环。破解人员面前的显示屏上,手环被显示为一个白点。通过对白点变化幅度和位置的分析,破解人员可以准确推测出另一房间内的佩戴手环者究竟是在敲击键盘,还是在晃动手臂。

采访中,记者注意到,正是由于现在不少智能手表和手环都有睡眠监测功能,所以很多人选择24小时戴着它,睡眠时也不例外。对于记者透露的“戴着智能手环输入密码可以记录运动轨迹从而窃取银行密码”,大多数人表示难以置信。

专家表示,大量的蓝牙智能设备和手机之间的传输并不安全,可能会被攻击者拦截并解码用户数据。如果小偷获取了包括手环主人的日常作息习惯在内的信息,后果可想而知。

专家:时间成本高 通过轨迹难判断

据法新社报道,美国伊利诺伊大学的研究人员在一份研究报告中说,他们可以用智能手表的运动传感器来获知使用者正在从键盘上输入的内容。

以前我们都听说过智能手表可以被黑客利用窃取GPS定位,更改佩戴者所在位置,不过,戴着它们输入密码就有可能被窃取密码,听上去确实“耸人听闻”。那么,这种行为在我们的现实生活中究竟有没有可能呢?又是何种原理,记者为此联系到了南京信息工程大学计算机学院的信息安全专家沈剑教授。

研究人员发明了一种应用程序,可以在佩戴者打字时追踪敲击键盘的动作。比如,左手腕在敲击字母T时比敲击字母F时的伸展动作要大一些。通过分析这些运动,研究人员基本就能确定使用者打出了哪些单词。

沈剑认为,对于这样的研究,更多的是为了未来科技发展的可能性考虑,就目前生活而言,通过普通人手上的智能设备运行轨迹判断密码,似乎成本还是有些高,也需要更多的时间破解,“我们输入密码时,手部的动作幅度其实是不大的,一般只是手指一点动作,而智能设备在手腕上,来记录手指的活动轨迹,我们可以想象,轨迹是多么难以判断。”他说。

专家称,虽然接触人体的设备可以提供有关人体健康和环境的宝贵数据,但它们也为更深层地侵犯隐私行为敞开了大门。

“与此同时,黑客控制普通人的智能手环和手表,离我们生活还比较远,只能说有这样的可能性,但是,对于任何智能设备来说,被窃取任何信息都是有可能的,甚至一个充电宝或一根数据线即可,所以,我们没有必要去特意防范。”沈剑表示。

考虑到智能手环在使用中需要连接手机的特点,实验着重从设备与手机连接、APP权限检查、信息安全保护三个方面进行。

最后,沈剑提醒,任何智能设备,都需要及时更新操作系统,以免出现漏洞引起安全遗患,而且,一般智能手环手表都跟智能手机绑定,所以,他们的安全性其实是相连的,因此,只要正确使用,窃取密码的可能性就很小。

实验对小米手环、三星Gear Fit手环 、Apple Watch与手机的连接进行测试。

(责任编辑:张洁欣)

在进行小米手环的蓝牙连接时,华商报记者发现,一旦小米手环离开原来绑定的手机10米左右,就可以与另一部手机通过蓝牙重新进行配对连接和APP绑定。而可用于连接的手机,安卓系统和IOS系统的都可以。

只要蓝牙连接上,APP绑定过程只要求敲几下小米手环就可以确定。

由于APP使用需要登录小米账号,而在实验中iPhone上和安卓手机用的是同一个账号,会不会是这个原因导致可以连接上?

华商报记者随后又用一部iPad下载“小米运动”并注册了另一个小米账号。再次做相同的实验,发现尽管账号不同,只要建立了蓝牙连接,依然可以用不同小米账号的iPad与这部小米手环绑定。在绑定新账号后,华商报记者发现记录会自动从零开始。

三星Gear Fit手环也需要先与手机进行蓝牙配对,并用下载的专用APP进行绑定后才能使用。不过这个手环上有一块屏幕,绑定时需要从两个设备上都要进行确定。绑定过程中,手机上和手环屏幕上都会出现一对配对密钥,提醒秘钥相同再进行配对。而配对的时候还会再次生成一串秘钥,再次从两个设备上确定。而如果不是三星品牌的手机,连上手环后想要看健康数据则是点不开的。手环的主人介绍,监测数据信息还可以设定密码,如果别人要看不知道密码是不能打开的。

Apple Watch,则需要打开手机上专用的Watch应用进行扫描配对,并进行Apple ID验证后才能连接上,程序更加复杂,但连接的安全性自然更高。

杨超老师:

虽然配对连接需要敲几下手环,但出现震动提醒时一般人不太注意,很可能随手敲两下,刚好被系统误以为确定信号,从而将手环连接在别人的手机上。实验发现的情况说明,很有可能会出现这样的情境,手环虽然戴在原主人手腕上,而手环监测的运动或健康数据却被附近的人通过手机窃取。遭窃取的健康数据可能被别人恶意利用,比如欲伺机偷窃的蟊贼就可能会利用这样的空子。

此外,低功耗蓝牙技术不同于常规蓝牙之处在于它不需要密码,不少智能手环根本没有能输入密码的屏幕和按键。这就是个可能被利用的漏洞,黑客甚至可以连接到已和手机同步的手环上。而随着健身追踪器的新传感器和新软件的问世,还可能被黑客利用。

杨超老师介绍,手机中安装的应用程序的权限,有的会直接涉及个人隐私。小米手环和三星Gear Fit手环都可以在安卓系统中运行,所以查看其权限就可以了解到该应用程序可能会涉及的个人隐私信息。

华商报记者查看了安卓手机中安装的“小米手环”和“Gear Fit Man-ager”的应用权限。结果发现,尽管小米手环连按键都没有,但应用信息中“权限”列表中,除了查看WLAN连接和访问蓝牙设置外,赫然还有:直接拨打电话号码、拍摄照片和视频、大致位置和精确位置、控制闪光灯、发送持久广播等内容。小米网站上的信息显示,小米手环并没有控制拍照的功能。

“Gear Fit Manag-er”应用的权限要求比“小米运动”更多,除了拨打电话、拍摄照片和视频、精确位置外,还有读取通讯录、编辑读取文字信息、读取日历活动和机密信息、查找设备上账户等权限。

从该手环屏幕呈现的功能来看,除了计步器、锻炼、心率、睡眠等项目的监测外,还可以实现“查找我的设备”,“通知”可以转发来自手机的未接电话、未查看短信。这些来自手机的信息被直接转到了这块小小的屏幕上。但并不具备控制手机拍摄照片和视频等功能。

杨超老师:

应用软件过多的权限要求,破坏了网络安全方面“最小权限”原则,开发者可能是为了将来要开发的功能考虑,但手环若被人控制,因为这个原因可能导致手机里的其他数据遭到破坏。比如控制手机在机主不知情的情况下拍照,获取通讯录里的联系人信息、支付信息等。实验一只是可能窃取可穿戴设备里储存的信息,而实验二所发现情况的后果可能是窃取手机里面的信息,后果更严重。

带有显示屏的智能手环和智能手表上会储存很多隐私信息,一旦丢失后被人偷窥也会泄露很多隐私信息。在拿到三星Gear Fit手环和Apple Watch时,华商报记者发现,尽管设备的主人都表示这些设备里没什么,但打开设备后,通讯录、短信、未接电话、未查看短信等敏感信息还是可以看到。Apple Watch还可以设置密码,但三星Gear Fit手环屏幕并未设密码。手环的主人说,他也不知道如何设密码。

有媒体报道称Ap-ple Watch存在的一项重大安全漏洞,错误地输入密码六次,这个手表就会被锁定。通过一系统操作可以重置Apple Watch。

真是这样吗?华商报记者进行了实验验证。故意输入错误密码7次以后,设备出现文字提示让等1分钟再尝试;1分钟后再次输错一次密码,又让等5分钟;5分钟后再次故意输错后让等15分钟;15分钟后再次故意输错又让等60分钟;60分钟后再次故意输错则会弹出提示:“密码错误”,并提醒“请在iPhone打开 Apple Watch应用,前往Pass-code,轻按‘重启密码’再试。”看来,并非如上面报道所说的那样,轻易就可以让小偷将Apple Watch还原重置。

记者随后查看iPhone手机中的Watch应用发现,其中有“抹掉数据”的选项。启用此功能后,输错10次密码后,Apple Watch的所有数据将被清空。

另据苹果官网的推介文字,尚未推出的苹果手表新操作系统watchOS2包含了全新的安全功能,即激活锁。若要激活Ap-ple Watch,需要使用Apple ID和密码。如此一来,当Apple Watch丢失或被盗时,机主的信息仍可保持安全。

杨超老师:

相对来说,人们对于自己手机信息的安全保护意识比较强,而对智能穿戴式设备中存储的信息却容易忽视,其实由于这些设备和手机相连,而且储存有部分隐私传感数据,如果没有密码保护,泄密后也可能产生和手机中隐私泄露一样的后果。

一旦隐私信息泄露,有可能被人利用来对个人行为习惯、性格特征、健康状况等更产生进一步的推断,轻则用于广告投放,严重的甚至被用来进行非法活动。提醒大家,可穿戴设备,能设密码的一定要设密码。 华商报记者 马虎振 文/图

搜索