7月8日,據英國《每日郵報》報道,美國研究人員近日警告説,現在流行的智慧手錶手環會洩露用戶的密碼。他們表示,通過入侵可穿戴設備的運動感測器,用戶輸入密碼時的手勢可以被記錄,駭客便可以蒐集到軌跡資訊,猜出用戶輸入的數字,然後盜取ATM密碼。這聽上去是不是很可怕?
戴手環去ATM機 軌跡暴露密碼
據報道,美國賓漢姆頓大學和斯蒂文斯理工學院的研究人員發現,可穿戴設備可用於竊取用戶的多種密碼。
這兩所大學的研究人員發表了題為《朋友還是敵人?可穿戴設備暴露了你的個人識別碼》 的論文。他們基於3種資訊安全系統——包括ATM機——在11個月時間裏由20名成人用戶,使用多種可穿戴設備進行了5000次密碼輸入測試,收集智慧手錶和運動手環中嵌入式感測器的數據,並利用電腦演算法去破解個人識別碼和密碼。首次嘗試的破解成功率達到80%,而三次嘗試後的成功率超過90%。
原理是什麼呢?研究人員表示:“可穿戴設備能被攻破。攻擊者可以恢復出用戶手掌的運動軌跡,隨後獲得訪問ATM機、電子門禁,以及用鍵盤控制的企業伺服器的密碼。”
那如何“攻擊”呢?研究者表示攻擊者通過惡意軟體訪問手腕上可穿戴設備的嵌入式感測器。惡意軟體等待用戶訪問基於密碼的安全系統,併發回感測器數據。隨後,攻擊者可以利用感測器數據去探測受害者的個人識別碼。
這項研究幫助外界了解,可穿戴設備究竟會帶來什麼樣的資訊安全風險。目前,可穿戴設備的尺寸和計算能力還無法保證強大的安全措施,這也導致數據安全性更脆弱。
不少人喜歡24小時都戴著手環
昨天,記者找到了一組關於智慧手環手錶的研究數據,數據表示,儘管智慧穿戴設備的概念越來越火,市場上智慧手錶、智慧手環等産品也開始設計得越來越酷炫,不過目前國內還並沒有形成一個統一的行業標準,造成市場上的産品參差不齊,在安全和隱私方面也沒有一個通用的標準能讓用戶放心使用。
數據顯示,2015年全年智慧穿戴設備的發貨量為8500萬個,有研究表明,到2021年,這個數字會增長36.9%。而在整體市場中,3000元以上的産品在關注度上佔有一定優勢;2000元-2999元的智慧手錶以及500元-999元的智慧手環用戶關注度最為集中。
記者也發現,生活中,越來越多的人選擇戴上了智慧手環或手錶,而他們對於功能使用中,最多的便是運動數據的記錄,比如步數和心率等,另外,不少人選擇用手環來監測睡眠狀態,以了解自己睡眠品質是否好。
採訪中,記者注意到,正是由於現在不少智慧手錶和手環都有睡眠監測功能,所以很多人選擇24小時戴著它,睡眠時也不例外。對於記者透露的“戴著智慧手環輸入密碼可以記錄運動軌跡從而竊取銀行密碼”,大多數人表示難以置信。
專家:時間成本高 通過軌跡難判斷
以前我們都聽説過智慧手錶可以被駭客利用竊取GPS定位,更改佩戴者所在位置,不過,戴著它們輸入密碼就有可能被竊取密碼,聽上去確實“聳人聽聞”。那麼,這種行為在我們的現實生活中究竟有沒有可能呢?又是何種原理,記者為此聯繫到了南京資訊工程大學電腦學院的資訊安全專家沈劍教授。
沈劍認為,對於這樣的研究,更多的是為了未來科技發展的可能性考慮,就目前生活而言,通過普通人手上的智慧設備運作軌跡判斷密碼,似乎成本還是有些高,也需要更多的時間破解,“我們輸入密碼時,手部的動作幅度其實是不大的,一般只是手指一點動作,而智慧設備在手腕上,來記錄手指的活動軌跡,我們可以想像,軌跡是多麼難以判斷。”他説。
“與此同時,駭客控制普通人的智慧手環和手錶,離我們生活還比較遠,只能説有這樣的可能性,但是,對於任何智慧設備來説,被竊取任何資訊都是有可能的,甚至一個充電寶或一根數據線即可,所以,我們沒有必要去特意防範。”沈劍表示。
最後,沈劍提醒,任何智慧設備,都需要及時更新作業系統,以免出現漏洞引起安全遺患,而且,一般智慧手環手錶都跟智慧手機綁定,所以,他們的安全性其實是相連的,因此,只要正確使用,竊取密碼的可能性就很小。記者 徐赟
