研究發現黑客可以通過智能手表盜取個人密碼
2016-09-18 10:36 來源: 連網 作者:
【連網】 據英國《每日郵報》網站報道���,美國研究人員近日警告說�����,智能手表之類的可穿戴設備會泄露用戶的密碼���。他們表示,通過入侵可穿戴設備的運動傳感器����,黑客可以搜集到足夠的信息,猜出用戶輸入的文字��,然后盜取ATM密碼��。
美國賓漢姆頓大學托馬斯-沃特森工程與應用科學學院計算機科學助理教授王彥(音譯�����,Yan Wang):“可穿戴設備可以被黑客利用。攻擊者可以復制用戶手部的活動軌跡�����,然后復原ATM機���、電子門鎖以及由按鍵控制的企業服務器的登陸密碼�����。”
在這項研究中����,科學家將來自可穿戴產品(如智能手機和健康追蹤系統)嵌入式傳感器的數據���,與計算機算法相結合����,破解個人識別碼(PIN)和密碼,第一次破解嘗試的準確率達到80%��,而三次以后的準確率超過90%�。
研究人員要求20個成年人穿戴各種高科技設備,在11個月的時間內利用三種基于密鑰的安全系統���,進行了5000次密鑰登陸測試�����,這其中就包括ATM機���。無論用戶的手部姿勢如何�,這個研究團隊都可以記錄細微的手部運動信息——這些信息來自于可穿戴設備內置的加速度計��、陀螺儀和磁力儀等�����。
這些測量數據可以幫助研究人員預估連續擊鍵之間的距離和方向,然后使用“反向PIN序列推導算法”來破解編碼,而且根本不需要有關按鍵的前后關系線索,準確率高的驚人��。王彥的研究團隊稱�����,這也是第一項盜取個人PIN代碼的特別技術——該技術利用可穿戴設備泄露的信息�����,不需要前后關系信息。
王彥說:“這種威脅是真實存在的,盡管方法很復雜�。目前黑客已經實現了兩種攻擊手段:內部攻擊和嗅探攻擊(sniffing attack)�����。在內部攻擊中,攻擊者通過惡意軟件,進入戴在手腕上的可穿戴設備的嵌入式傳感器����。”
“在受害者訪問基于密鑰的安全系統時,惡意軟件便伺機而動�,搜集傳感器的數據并發送回去����。然后,攻擊者可以聚合傳感器數據以破解受害者的PIN碼�。此外��,攻擊者還可以在基于密鑰的安全系統附近放一個無線嗅探器,竊聽可穿戴設備通過藍牙發送至受害人相關智能手機上的數據����。”
王彥的研究小組表示����,目前他們尚處于發現可穿戴設備安全漏洞的早期階段�����。盡管可穿戴設備能夠追蹤健康和醫療活動�����,但是這種設備的大小和計算能力,讓用戶無法實現強大的安全措施,這使得設備里面的數據更容易遭到攻擊���。
王彥的團隊在當前研究中并未給出解決這個問題的方案,不過他們建議開發者“給數據注入某種類型的‘噪音’,這樣它就不能被用于追蹤細微的手部運動��,同時又能有效地完成健身追蹤功能�,例如活動識別和計步等。”
王彥的研究團隊最后還建議�����,應該在可穿戴設備和主操作系統之間進行更好的數據加密�。
【編輯:馬靜靜】
