新威胁:可穿戴设备可能会泄露你的密码

下一篇文章

新科技:可穿戴设备将成为治疗帕金森症的利器

物联网给 安全带来的危害 并不仅仅在于企业缺乏为设备联网的专业技术。

无处不在的联网传感器也是对安全的威胁,它们正成为那些不怀好意的黑客的潜在攻击载体。因此我们需要对网络安全进行认真思考,以便锁定危险。

从可穿戴设备开始。

来自 斯蒂文斯理工学院电气和计算机工程系 和纽约州宾厄姆顿大学的团队开展了一项合作研究,向人们展示了智能手表等可穿戴设备是如何危及用户的 PIN 码,而这都是因为可穿戴设备所生成的运动传感数据。

该研究团队开发出一套算法,并且收集了 20 位成年人超过 5000 次的键盘输入追踪数据,他们将这些可穿戴设备传感器数据进行整合,通过分析手势运动,推断出用户的键盘输入顺序。他们将这一技术应用在不同的键盘类型上(包括 ATM 机用键盘和各种标准键盘类型),并且使用了三种不同的可穿戴设备(2 个智能手表和 1 个九轴动作追踪设备)。

要问结果如何?他们第一次就能准确破解 80%的 PIN 码,而三次尝试之后的准确率则超过 90%。虽然如此,但也可以说可穿戴设备总算是有用武之地了。

以下是他们的 研究论文 中有关他们所做工作的说明:

在本次研究工作中,我们展示了一款可以用来捕捉用户手部运动距离和方向的可穿戴设备,精确程度达到毫米级别,而黑客则可以利用这些数据再现用户的手部运动轨迹,从而获得用户的键盘输入密码。我们的系统证实,通过利用这些可穿戴设备中的内置传感器,比如加速表、陀螺仪、磁力计等,无论用户采用何种手势输入,都可以获取用户连续进行键盘输入时的移动距离。我们所开发的 BackwardPIN-Sequence Inference算法会利用每次键盘输入之间的内在物理约束来推测出完整的用户键盘输入顺序。

该研究最先由 IEEE Spectrum 进行了报道。研究者之一的王岩(音译)教授告诉 IEEE,可穿戴设备中的传感器数量让他们的技术发挥了作用,这些传感器提供了有关手部运动“足够多的信息”。所以实际上传感器越多也就越不安全。

为了减少基于加速度计算的手势距离的错误率,王岩说他们是从后往前来进行的研究,因为键盘输入的最后一步很有可能是在键盘上点击回车键,而他们可以以此为突破点来破译其他的键盘输入。

这样的攻击方式让黑客在人们输入他们的 PIN 码时不一定要在附近,只要有一个靠近键盘的无线抓包分析工具即可获取必要的数据包,这些数据都是从可穿戴设备发送到智能手机上的无线蓝牙数据。或者是通过安装在可穿戴设备或智能手机中的恶意软件来拦截传输数据,将它们发送给攻击者。

而因为大部分 PIN 码都只是一连串的数字,该研究团队认为这一技术可以用于打造一个全键盘记录器。

另一名参与此项目的研究人员陈莹莹(音译)教授告诉 TechCrunch,“这一技术还可用于窥视人们的按键习惯,然后破译他们的密码或者输入的任何内容。我们有另一个研究项目在研究这个问题。”

除了设备面对攻击整体表现出来的脆弱性,她还表示,“智能手表和智能手环都存在着风险”。

有一种方法可以避免你的智能手表或手环泄露个人 PIN 码给一名恶意黑客的风险,那就是用你另外一只没有佩戴可穿戴设备的手输入你的 PIN 码。陈莹莹确认这种方法可以阻止他们的技术发挥作用。

对于那些用戴着可穿戴设备的手输入 PIN 码和其他密码的人们来说,还有一种可选策略,就是在操作中增加一些“噪音”。据王岩说,所谓“噪音”其实是在按键时不时抖动一下手。这听着真是一点也不尴尬。

根据王岩的说法,要在源头上抵御风险就要求可穿戴设备制造商能更好地确保由他们的设备所产生的传感数据的安全性。

他另外表示,制造商可以在数据中故意加入噪音,以便干扰被传感器泄露的信号,这样这些数据就无法轻易被还原。

在信号干扰方面,可穿戴制造商苹果今夏在它的全球开发者大会上宣布,在即将推出的 iOS 10 中,它将采用名为 差别隐私 的安全保护技术,帮助用户掩盖个人数据,不过仍然允许通过分析大量的数据来发现大范围的趋势模式。

从安全的角度来说,往个人信号中添加更多的噪音真的很有用。

题图来自:ARIA

翻译:曹木

Oops! Wearables can leak your PINs and passwords

blog comments powered by Disqus