戳蓝色字关注IntelligentThings

引言

在一篇“朋友还是敌人？智能穿戴设备会泄露你的个人密码”的论文中，宾汉姆顿大学和斯蒂文斯理工学院的科学家们，搜集来自例如智能手表和健身追踪器等的可穿戴设备嵌入式传感器的数据，然后使用计算机算法破解个人的PIN码和密码。破解精度，在一次尝试的情况下，可达80%，而超过三次，精度可达90%。

研究团队

宾汉姆顿大学Thomas J. Watson工程和应用科学学院，计算机科学助理教授Yan Wang，以及斯蒂文斯理工学院的Chen Wang, Xiaonan Guo, Bo Liu，和首席研究员Yingying Chen，一起完成了这项研究的著作。研究小组，在这个以及其他移动设备相关的安全和隐私项目上进行合作。

安全漏洞

“可穿戴设备可以被利用，” Wang说道，“攻击者可以复制用户手部的轨迹，然后还原ATM自动取款机，电子门锁，和键盘控制的企业服务器的登陆密码。”

研究人员组织了20个成年人穿戴各种穿戴设备，在11个月的时间内，基于三种密钥的安全系统，包括ATM机，进行了5000个密码登陆测试。无论手部的姿势如何，团队都可以记录毫米级细粒度的手部运动信息。这些信息来自穿戴设备内部的加速度计，陀螺仪，磁力仪。这些测量可以评估连续按键的距离和方向，然后使用团队的“反向PIN序列推导算法”破解编码，并不需要键盘的前后关系线索，精度很准确。

研究团队称，这是第首个揭示了个人PIN码会被穿戴设备泄露的技术，而不需要前后关系信息。

“这种威胁是真实的，尽管方法很复杂，” Wang补充道，“有两种攻击方案：内部的和嗅探器攻击。在内部的攻击方案中，攻击者通过恶意软件，访问戴在手腕上的穿戴设备的嵌入式传感器。在受害人访问基于密钥的安全系统时，恶意软件搜集来自传感器的数据。然后，攻击者可以使用传感器数据，破解受害人的PIN码。在嗅探器攻击方案中，攻击者在基于密码的安全系统附近，放置一个无线嗅探器，窃听可穿戴设备蓝牙发送至受害人相关智能手机上的数据。”

为什么可穿戴设备易受安全攻击？

目前，研究处于发现可穿戴设备安全漏洞的前期阶段。尽管，可穿戴设备可以追踪健康和医疗活动，但是，他们的尺寸和计算能力，无法承载强健的安全措施，所以里面的数据更容易受到攻击。

加强安全性

在目前的研究中，团队并没有给出问题的解决方案。但是，他们建议开发者，“注入一定类型的噪音数据，这样细粒度的手部运动就无法被获取。但是不妨碍它有效地完成健身追踪功能，例如运动识别和记步。”团队也建议，在穿戴设备和主操作系统之间进行更好的数据加密。

智能硬件和物联网安全的重要性

随着智能硬件和物联网技术的发展，万物都互联互通，给人们生活带来了极大便利。但是，任何事情都是有利有弊的，“安全性”则成为技术发展过程中，所需要重点关注的问题。关于物联网和智能硬件的安全性，IntelligentThings也一直很关注，之前就写过一篇题为“智能情趣玩具受到骇客攻击？聊聊物联网安全！”的文章。文章从产品设计的角度，阐述了如何从硬件，软件，云和网络方面加强产品的安全性。有兴趣的朋友，也可以参考阅读一下。

参考文献：Chen Wang, Xiaonan Guo, Yan Wang, Yingying Chen, Bo Liu. Friend or Foe? ASIA CCS '16 Proceedings of the 11th ACM on Asia Conference on Computer and Communications Security, 2016; DOI: 10.1145/2897845.2897847

（http://dl.acm.org/citation.cfm?doid=2897845.2897847）

消息来源：http://www.binghamton.edu/mpr/news-releases/news-release.html?id=2407

如果大家有什么关于物联网，智能硬件，创新方向的技术或者产品问题想了，请写评论告诉IntelligentThings，我会定期参看大家的问题，并选择一些来回答。