揭秘智能手表和健身手环如何泄漏你的取款机密码

在本文的开头,我想先问大家一个简单的问题:你的惯用手是左手还是右手?

这是一个非常简单的问题,这个问题并不会给你带来任何的损失。但是接下来的问题就不一定了:你在你的惯用手上佩戴了智能手表或者健身手环吗?

如果你佩戴了这样的设备,那么你可能需要重新考虑一下这是否是一个明智之举了。近期,一群来自宾汉姆顿大学的科学家对这类设备进行了研究,也许在你看完了他们的研究报告之后,你会得到这一问题的答案。

美国《每日科学》报道称,宾汉姆顿大学和斯蒂文斯理工学院的安全研究专家们一直在对可穿戴设备中的传感器漏洞进行研究。研究人员发现,攻击者能够利用可穿戴设备中的传感器漏洞来破解我们的私人PIN码和密码。

在一篇研究报告中,安全研究人员在这篇论文的开头就写到:你的可穿戴设备将会泄漏你的个人PIN码。研究人员在文章中还详细描述到,在可穿戴式的健身跟踪设备中嵌入了传感器装置,而攻击者可以从目标用户每分钟的行为动作中提取出有价值的信息,然后在计算机算法的帮助之下,破解出用户所输入的PIN码或安全密码。

安全研究人员表示:“在此次研究过程中,我们发现攻击者可以利用可穿戴设备来识别出目标用户惯用手的行为动作,其在移动距离和方向上的分辨度可达到毫米级别。这也就意味着,攻击者可以在计算机中模拟重现用户佩戴手的移动轨迹,并进一步恢复出用户输入的密码信息。值得一提的是,我们的系统目前已经确认,攻击者将有可能从可穿戴设备的嵌入式传感器中提取出用户佩戴手的移动轨迹,例如加速度计,陀螺仪,以及磁力计等装置。攻击者可以从中提取出用户佩戴手的移动轨迹,并通过用户的操作手势提取出输入的密码。我们的PIN码序列逆向推演算法可以利用密码按键之间的固有物理约束(距离)来推测出用户输入的完整密码序列。”

Yan Wang是宾汉姆顿大学计算机科学学院的一名助理教授,同时他也是此次研究的参与者之一。根据他的描述,安全研究专家在首次破解尝试中,其破解出来的密码正确率就高达80%。在随后的三次破解尝试中,破解出来的密码正确率全部超过了90%。如果能够对算法做进一步的改进,增大数据记录的范围,并增加更多的键盘种类,他们就可以获取到更多的可穿戴设备数据。这样一来,破解出来的密码准确率还能够提高至少19%。虽然目前这种攻击方式还停留在理论研究阶段,但是由此看来,可穿戴设备的数据安全防范研究已经成为了眼下的当务之急了。

他说到:“据我们目前所知,之前还没有这样的技术。我们的新技术可以在不需要标记用户行为数据的情况下,利用可穿戴设备来恢复出目标用户的个人PIN码。”

虽然这听起来让人感觉有些不可思议,但是攻击者如何在现实生活中使用这样一种极其复杂的攻击方式呢?

有一种可行的方法就是利用恶意软件来感染用户的可穿戴设备,将恶意软件伪装成安全工具,在设备后台收集用户的手腕运动信息,并将这些信息发送给攻击者进行下一步分析。

除此之外,Wang提出了一种设想。在日常生活中,这种可穿戴设备可以贴近取款机密码键盘或者其他的一些基于实体键盘的密码安全系统。这也就意味着,攻击者可以利用可穿戴设备来收集用户的密码输入操作,并将这些信息发送回与之相连的智能手机中,而这些信息通常都是通过蓝牙设备发送的。

当然了,这种特定的攻击方式依赖于智能手机与传感器设备的数据同步情况。要求用户在输入取款机密码时,设备能够将用户的手势动作实时传输至与之相连的智能手机中。

此前所进行过的一些研究已经证实了,很多健身跟踪设备中存在设计缺陷,这些设备无法有效地保护用户数据的安全性。这也就意味着,攻击者可以利用这些设计缺陷来对用户进行攻击,而这种情况其实也并不少见。

你也许已经意识到了,安全研究专家所描述的这种攻击方式在短时间内不太可能被广泛应用。尽管如此,但这项研究仍然是非常有趣且非常具有想象力的。除此之外,有些情报机构和执法部门很可能会利用这种攻击方式来对某些他们所感兴趣的目标进行攻击,所以我们的研究从某种程度上来说,可以提升用户的安全性。

对于我个人而言,我可不想因此而夜不能寐。虽然如此,但我仍然会用我的右手来输入密码,但是我会将健身跟踪器佩戴在我的左手上。