黑客可以利用Smartwatches,健身跟踪器来窃取您的ATM PIN
如果您不相信可穿戴设备,那么随着新的研究,您并不是偏执狂,证明了智能手表和健身跟踪器如何通过攻击者窃取您的ATM引脚或密码来利用智能手表和健身跟踪器。
燕王于托马斯J. Watson Engineiver of Engineeral Engineern大学工程学院计算机科学助理教授,不会戴上智能手表。“它太多了解,”他告诉IEEE频谱。
王应该知道。当他是史蒂文斯理工学院的研究生时,他是Yingying Chen的五个研究人员之一,他们开发了一种技术从算法中的可穿戴物中的嵌入式传感器组合数据;它可以在一个尝试中以80%的准确度裂开引脚和密码。三次尝试后,它们的精度达到了90%。
他承认,“在开始时,我以为这将是科幻小说,但实际上可以做到这一点。这些可穿戴设备上有很多传感器。它提供了足够的手动运动信息。“
在11个月内,研究人员在三个基于钥匙的安全系统上运行了5,000个关键进入测试;他们确定了“在碰撞秘密信息的上下文中的”严重安全漏洞的可穿戴设备(即,关键条目)“。
通过使用“加速度计,陀螺仪和磁力计的加速度计,陀螺仪和磁力计,无论手部的姿势如何,”研究人员可以记录一只手的细粒度。然后他们使用他们的“反向引脚序列推理算法”来破解代码以“报警精度”。这是第一种可使用可穿戴设备揭示个人针脚的技术,而无需关于键盘的上下文线索。
研究论文,“朋友或敌人?:您的可穿戴设备揭示您的个人PIN,“在第11届计算机和通信安全性会议上的第11届年度协会中获得”最佳纸张奖“。
“可穿戴设备可以被利用,”王警告说。
攻击者可以重现用户手的轨迹,然后恢复到ATM自动取款机,电子门锁和键盘控制的企业服务器的密钥条目。据秉文大学新闻发布,王增了:
“威胁是真实的,尽管这种方法是复杂的。有两种攻击情景可实现:内部和嗅探攻击。在内部攻击中,攻击者通过恶意软件访问手腕穿戴设备中的嵌入式传感器。恶意软件等待,直到受害者访问基于密钥的安全系统并发送传感器数据。然后攻击者可以聚合传感器数据以确定受害者的销。攻击者还可以将无线嗅探器靠近基于钥匙的安全系统,以从通过蓝牙发送到受害者的相关智能手机的可穿戴设备窃听传感器数据。“
穿戴物中没有足够的强大安全措施,研究人员没有提出解决问题的解决方案。他们建议穿戴设备和主机操作系统之间更好地加密。他们还认为开发人员可以“向数据注入某种类型的噪音,因此不能用于导出细粒度的手动运动,同时仍然有效地对健身跟踪目的,例如活动识别或步骤数。”
如果您不想放弃可穿戴,但您也不希望它屏蔽密码和密码,然后王建议随机地在键点击时随机移动,当时将屏蔽数据时键点击。“它可能看起来很奇怪,但它有所帮助,”他说。“如果你只是从关键到钥匙移动,我们可以追踪这一点。”