當心！可穿戴設備可能泄露你的銀行卡密碼

美國賓漢姆頓大學和斯蒂文斯理工學院的研究人員發(fā)現，可穿戴設備可用于竊取用戶的多種密碼。

這兩所大學的研究人員發(fā)表了題為《朋友還是敵人?可穿戴設備暴露了你的個人識別碼》的論文。他們收集了來自可穿戴設備，例如智能手表和運動手環(huán)中嵌入式傳感器的數據，并利用計算機算法去破解個人識別碼和密碼。首次嘗試的破解成功率達到80%，而三次嘗試后的成功率超過90%。

賓漢姆頓大學工程和應用科學學院計算機科學助理教授王艷(Yan Wang，音)表示：“可穿戴設備能被攻破。攻擊者可以恢復出用戶手掌的運動軌跡，隨后獲得訪問ATM機、電子門禁，以及用鍵盤控制的企業(yè)服務器的密碼。”

這項研究的其他參與者還包括Wang Chen、Guo Xiaonan、Liu Bo，而負責人Chen Yingying來自斯蒂文斯理工學院。該團隊在與移動設備相關的信息安全和隱私保護項目中保持合作。

王艷表示：“威脅真實存在，但方法可能很復雜。有兩種攻擊方法可以實現：內部攻擊和嗅探攻擊?！?/span>

“在內部攻擊中，攻擊者通過惡意軟件訪問手腕上可穿戴設備的嵌入式傳感器。惡意軟件等待用戶訪問基于密碼的安全系統(tǒng)，并發(fā)回傳感器數據。隨后，攻擊者可以利用傳感器數據去探測受害者的個人識別碼?！?/span>

“攻擊者也可以將無線嗅探設備置于基于密碼的信息安全系統(tǒng)附近，竊取可穿戴設備發(fā)送給關聯智能手機的傳感器數據?！?/span>

研究人員基于3種信息安全系統(tǒng)，包括ATM機，在11個月時間里由20名成人用戶，使用多種可穿戴設備進行了5000次密碼輸入測試。

利用可穿戴設備中加速計、陀螺儀和磁力計的數據，研究團隊成功記錄了毫米級的運動信息，而無論用戶手掌處于什么姿勢。隨后，利用“后向個人識別碼序列干涉算法”，研究人員準確恢復出了按鍵數據。

研究團隊表示，這是第一種利用可穿戴設備獲取個人識別碼，同時不需要任何環(huán)境信息的技術。

這項研究幫助外界了解，可穿戴設備究竟會帶來什么樣的信息安全風險。目前，可穿戴設備的尺寸和計算能力還無法保證強大的安全措施，這也導致數據安全性更脆弱。

在當前的研究中，團隊并未針對問題提出解決方案。不過他們表示，開發(fā)者可以向數據中人為加入“噪聲”，使黑客無法從數據中提取手掌運動信息，但仍可以有效跟蹤運動。

研究團隊還建議，在可穿戴設備和關聯設備的操作系統(tǒng)之間進行更強的加密。