研究發(fā)現(xiàn)黑客可以通過智能手表盜取個(gè)人密碼

2016-09-18 10:36 來源: 連網(wǎng)

分享到：

【連網(wǎng)】據(jù)英國(guó)《每日郵報(bào)》網(wǎng)站報(bào)道，美國(guó)研究人員近日警告說，智能手表之類的可穿戴設(shè)備會(huì)泄露用戶的密碼。他們表示，通過入侵可穿戴設(shè)備的運(yùn)動(dòng)傳感器，黑客可以搜集到足夠的信息，猜出用戶輸入的文字，然后盜取ATM密碼。

QQ截圖20160918103554

美國(guó)賓漢姆頓大學(xué)托馬斯-沃特森工程與應(yīng)用科學(xué)學(xué)院計(jì)算機(jī)科學(xué)助理教授王彥（音譯，Yan Wang）：“可穿戴設(shè)備可以被黑客利用。攻擊者可以復(fù)制用戶手部的活動(dòng)軌跡，然后復(fù)原ATM機(jī)、電子門鎖以及由按鍵控制的企業(yè)服務(wù)器的登陸密碼。”

在這項(xiàng)研究中，科學(xué)家將來自可穿戴產(chǎn)品（如智能手機(jī)和健康追蹤系統(tǒng)）嵌入式傳感器的數(shù)據(jù)，與計(jì)算機(jī)算法相結(jié)合，破解個(gè)人識(shí)別碼（PIN）和密碼，第一次破解嘗試的準(zhǔn)確率達(dá)到80%，而三次以后的準(zhǔn)確率超過90%。

研究人員要求20個(gè)成年人穿戴各種高科技設(shè)備，在11個(gè)月的時(shí)間內(nèi)利用三種基于密鑰的安全系統(tǒng)，進(jìn)行了5000次密鑰登陸測(cè)試，這其中就包括ATM機(jī)。無論用戶的手部姿勢(shì)如何，這個(gè)研究團(tuán)隊(duì)都可以記錄細(xì)微的手部運(yùn)動(dòng)信息——這些信息來自于可穿戴設(shè)備內(nèi)置的加速度計(jì)、陀螺儀和磁力儀等。

這些測(cè)量數(shù)據(jù)可以幫助研究人員預(yù)估連續(xù)擊鍵之間的距離和方向，然后使用“反向PIN序列推導(dǎo)算法”來破解編碼，而且根本不需要有關(guān)按鍵的前后關(guān)系線索，準(zhǔn)確率高的驚人。王彥的研究團(tuán)隊(duì)稱，這也是第一項(xiàng)盜取個(gè)人PIN代碼的特別技術(shù)——該技術(shù)利用可穿戴設(shè)備泄露的信息，不需要前后關(guān)系信息。

王彥說：“這種威脅是真實(shí)存在的，盡管方法很復(fù)雜。目前黑客已經(jīng)實(shí)現(xiàn)了兩種攻擊手段：內(nèi)部攻擊和嗅探攻擊（sniffing attack）。在內(nèi)部攻擊中，攻擊者通過惡意軟件，進(jìn)入戴在手腕上的可穿戴設(shè)備的嵌入式傳感器。”

“在受害者訪問基于密鑰的安全系統(tǒng)時(shí)，惡意軟件便伺機(jī)而動(dòng)，搜集傳感器的數(shù)據(jù)并發(fā)送回去。然后，攻擊者可以聚合傳感器數(shù)據(jù)以破解受害者的PIN碼。此外，攻擊者還可以在基于密鑰的安全系統(tǒng)附近放一個(gè)無線嗅探器，竊聽可穿戴設(shè)備通過藍(lán)牙發(fā)送至受害人相關(guān)智能手機(jī)上的數(shù)據(jù)。”

王彥的研究小組表示，目前他們尚處于發(fā)現(xiàn)可穿戴設(shè)備安全漏洞的早期階段。盡管可穿戴設(shè)備能夠追蹤健康和醫(yī)療活動(dòng)，但是這種設(shè)備的大小和計(jì)算能力，讓用戶無法實(shí)現(xiàn)強(qiáng)大的安全措施，這使得設(shè)備里面的數(shù)據(jù)更容易遭到攻擊。

王彥的團(tuán)隊(duì)在當(dāng)前研究中并未給出解決這個(gè)問題的方案，不過他們建議開發(fā)者“給數(shù)據(jù)注入某種類型的‘噪音’，這樣它就不能被用于追蹤細(xì)微的手部運(yùn)動(dòng)，同時(shí)又能有效地完成健身追蹤功能，例如活動(dòng)識(shí)別和計(jì)步等。”

王彥的研究團(tuán)隊(duì)最后還建議，應(yīng)該在可穿戴設(shè)備和主操作系統(tǒng)之間進(jìn)行更好的數(shù)據(jù)加密。

研究發(fā)現(xiàn)黑客可以通過智能手表盜取個(gè)人密碼

相關(guān)新聞