在论文《朋友还是敌人:你的可穿戴设备会泄露你的个人识别码》中,宾汉姆顿大学和史蒂文斯理工学院的科学家将嵌入在可穿戴设备(如智能手表和健身手镯)中的传感器记录的数据与计算机算法相结合,破解私人个人识别码和密码。他们在第一次尝试中达到了80%的准确率,而在三次尝试后准确率高于90%。
"可穿戴设备可以被其他人使用."宾汉姆顿大学托马斯·沃森工程和应用科学学院的计算机科学助理教授王艳说,“入侵者可以通过复制用户手的轨迹来获得用户自动取款机、电子门锁和键盘控制的企业服务器的密码。”
史蒂文斯理工学院的王艳、王晨、郭晓楠和首席研究员陈莹莹是论文的合著者。他们的团队不仅在这项研究中合作,还包括其他与移动设备相关的安全问题和隐私项目。
"虽然产生威胁的方法更精确,但威胁是真实的."“两种可能的威胁是内部攻击和嗅探攻击,”王艳说。
“在内部攻击中,入侵者可以通过恶意软件进入腕戴设备的嵌入式传感器,”王艳解释道。“恶意软件会等待受害者根据密钥操作进入安全系统,然后返回传感器数据。然后,入侵者将收集传感器数据,并最终确定用户的个人识别码。”
王艳说:“可穿戴设备通过蓝牙向受害者的智能手机发送数据,而攻击者也可以在基于密钥的安全系统附近放置无线嗅探器,在数据传输过程中窃取传感器数据。”
研究人员对三个基于钥匙的安全系统进行了5000次钥匙进入测试。测试对象包括自动取款机等。20名穿着各种可穿戴设备的成年人在11个月内完成了测试。
该团队能够通过可穿戴设备中的加速度计、陀螺仪和磁力计记录毫米级、高密度的手部运动信息,并且不受手部姿势的影响。通过这些测量数据,可以进行连续的键盘敲击测试,从而可以估计手运动的距离和方向。这种方法被称为“密码序列反演算法”。研究小组使用这种方法破解密码。这种方法具有惊人的准确性,并且不需要键盘上的上下文线索。
据研究小组称,这是第一项可以利用可穿戴设备中的信息来获取用户个人密码的技术,这项技术不需要其他背景信息。
这些研究数据帮助人们了解可穿戴设备的安全漏洞。尽管可穿戴设备可以跟踪医疗和健康活动,但可穿戴设备的大小和计算能力决定了它们无法提供强有力的安全措施,这使得设备内部的数据更容易被窃取。
在目前的研究中,该团队还不能提出解决这个安全问题的方案,但他们强烈建议开发人员“在数据中注入一些特定的噪声,这样入侵者就无法获得高密度的手部动作信息。但是,该设备仍然可以有效地跟踪健身情况,并完成行为识别和步数计算”。
研究小组还建议改进可穿戴设备和主操作系统之间的加密技术。
蝌蚪君编译自phys.org,译者lwl,转载必须授权