可穿戴设备——Fitbits、Jawbones、Nike+、苹果手表等——都在白热化。据估计,科技行业在全球的销售额已经达到140亿美元,并有望在四年内翻一番,达到300亿美元以上。
但是,一个新史蒂文斯理工学院的研究报告显示那些很酷身打扮就像你使用它们可能泄漏信息。史蒂文斯研究人员发现,你的手的运动,你用密码键盘,这是连续自动地通过您的设备记录,可以实时被黑客攻击,并使用一些尝试内超过90%的准确猜出你的密码。
电气和计算机工程教授陈莹莹和她的三个研究生在史蒂文斯实验室进行了测试,在史蒂文斯校友王妍博士(15岁,现为宾汉姆顿大学教授)的协助下。
“这很令人惊讶,甚至对我们这些已经在这个领域工作的人来说,”多次获得国家科学基金会(NSF)奖的陈说。“犯罪分子使用正确的技术,从我们的可穿戴设备上获取秘密信息,可能比我们想象的要容易。”
史蒂文斯队配备20名志愿者与健身腕带和智能手表的数组,然后要求他们做出键盘或笔记本电脑的键盘部分5000样品输入PIN而由这些传感器传输的“嗅探”蓝牙低耗能的数据包(BLE)数据设备配对的智能手机。
“有两种这里潜在的攻击:嗅探攻击和内部攻击,”陈解释说。“一个对手可以放置一个无线‘嗅探’接近基于密钥的安全系统,并从可穿戴式设备窃听传感器数据。或者,在内部攻击中,攻击者通过访问恶意软件中的设备的传感器。该恶意软件等待,直到受害者访问一个基于密钥的安全系统,以收集传感器数据“。
在从设备中获取加速度计、陀螺仪和磁力计数据并使用它来计算连续密钥输入之间的典型距离和方向后,陈的团队开发了一种反向推理算法来预测四位数的PIN码。
她指出:“这些预测得益于大多数密码板和键盘的标准化布局,加上几乎所有用户在输入密码后都会按‘enter’键,这是他们最后一个重要的手部动作。”
虽然一些设备被证明比其他设备更安全,但平均而言,算法的第一次猜测的成功率达到了惊人的80%。在五次尝试后,它在某些设备上的准确率攀升至99%。
陈总结道:“还需要进一步的研究,我们也在研究对策。”他补充道,可穿戴设备不需要很容易可被黑客攻击——但它们确实是可被黑客攻击的。
一篇关于这项新研究的论文,朋友还是敌人?您的可穿戴设备显示您的个人密码今年5月,美国计算机学会在中国西安举行的信息、计算机和通信安全会议(ASIACCS)上获得最佳论文奖。
了下:M2M(机器对机器)
