在论文《朋友还是敌人:你的可穿戴设备会泄露你的PIN码》中,来自宾汉顿大学以及史蒂文斯理工学院的科学家们结合嵌入在可穿戴设备(如智能手表、健身手环)中的传感器记录的数据以及计算机算法来破解私人PIN码和密码。他们在第一次尝试中达到了80%的准确度,而在三次尝试后准确度则高于90%。
“可穿戴设备能够被他人利用。”宾汉顿大学托马斯?沃森工程和应用科学学院计算机科学助理教授王岩(音)(Yan Wang)说,“入侵者能够通过重现用户手部轨迹的方式来获得用户的ATM机、电子门锁以及键盘控制的企业服务器的密码。”
来自史蒂文斯理工学院的王岩、王晨、郭晓楠(音)以及首席研究员陈莹莹(音)是该论文的合著者。他们的团队不仅在这项研究上合作,他们的合作领域还包括其他与移动设备相关的安全问题及隐私项目。
“尽管产生威胁的方法比较精密,但威胁却是真实存在的。”王岩说,“两个可构成威胁的途径分别为:内部攻击和嗅探攻击(Sniffing Attack)。”
“在内部攻击中,入侵者可以通过恶意软件进入腕戴设备的嵌入式传感器中,”王岩解释道,“恶意软件等候受害者进入一个基于秘钥操作的安全系统,然后将传感器数据传回。接着,入侵者将收集传感器数据,并最终确定用户的PIN码。”
王岩说:“可穿戴设备通过蓝牙发送数据到受害者的智能手机,而攻击者也可以将无线嗅探器放置于基于秘钥的安全系统附近,在数据传输过程中窃取传感器数据。”
研究人员对三种基于秘钥的安全系统进行了5,000次密钥进入测试。测试对象包括一台ATM机等,佩戴各样可穿戴设备的20名成年人历时11个月完成该测试。
该团队能够通过可穿戴设备内部的加速计、陀螺仪、磁力仪来记录毫米级、高密度的手部运动的信息,并且不受手部姿势的影响。通过这些测量数据可以进行连续键盘敲击测试,这样可以估计手部运动的距离和方向。这个方法名叫“PIN码序列反推算法”,研究团队就是用这种方法来破解密码的。这种方法拥有惊人的准确度,并且不需要键盘的上下文线索。
按照该研究团队的说法,这是第一个能够利用可穿戴设备中的信息获取用户个人PIN码的技术,并且这种技术不需要其他的上下文信息。
这些研究数据帮助人们理解了可穿戴设备在安全上的脆弱性。尽管可穿戴设备可以追踪医疗健康活动,然而,可穿戴设备的尺寸和计算能力决定了它们无法提供强有力的安全措施,这让设备内部的数据更容易被窃取。
在目前的研究中,该团队还无法对这个安全问题提出解决方案,但是他们强烈建议开发者们“给数据注入一些特定的噪声,这样一来,入侵者就无法获取高密度的手部运动信息了。但是,设备却仍能有效追踪健身情况,完成行为识别和步数计数”。
研究团队同时也建议改善可穿戴设备以及主操作系统间的加密技术。
蝌蚪君编译自phys.org,译者 lwl,转载须授权
