俄安全专家谈智能手环存漏洞 可被黑客轻易破解

扫一扫

在测试可穿戴设备的安全性时，卡巴斯基实验室的移动设备安全研究专家罗马·乌努切克（Roman Unuchek）发现自己能够入侵数十个智能健身手环。他在自己的博客上谈到这项研究，并介绍用户使用此类设备可能产生的后果。  

智能手环的内在漏洞

在运用低功耗蓝牙技术（Bluetooth LE）的移动设备上装载一个特殊的应用程序，就能入侵可穿戴设备。低功耗蓝牙技术不同于常规蓝牙之处在于，前者不需要密码。大部分智能手环根本没有能输入密码的屏幕和按键。这是个能被黑客利用的漏洞。乌努切克指出，甚至可以连接到已和手机同步的手环上。

在更好地认识了设备识别技术后，乌努切克设计了一个能自动扫描附近空间、并连接上智能手环的程序。

这份研究报告的作者还进行了一些有趣的统计。他在莫斯科地铁里仅停留2个小时，就成功连接到19个设备：11 个FitBit和8个Jawbone智能手环。在美国贝尔维尤镇的某健身房停留一个小时，他发现了25个设备：20个Fitbit以及耐克、Jawbone、微软、Polar、Quans各一个。在墨西哥坎昆举行的SAS2015会议期间，乌努切克在两小时内就连接到10个健身追踪器（3个Jawbone和7个Fitbit）。

需要注意的是，这位安全专家并非每次都能获得用户信息（如用户的运动数据或睡眠阶段）。不过，乌努切克侵入了手环的功能管理界面。    

数据泄露的潜在危险

乌努切克举出两种智能手环被非法入侵的潜在危险。首先，侵入者能够强制智能设备不断振动，然后向使用者收钱才将其关闭。

另外，如果带有脉搏传感功能的手环被入侵，商店店主可在顾客看店内折扣时追踪他的脉搏频率。这种方式可用来了解人们对广告的反应。此外，被入侵的此类智能手环还能用作测谎仪。

乌努切克提醒说，随着健身追踪器的新传感器和新软件的问世，可能会为黑客创造新的机会。根据Juniper 研究公司的数据，2014年共售出1900万个健身手环。该公司估计，这一数字到2018年将增至6000万。  

2015年4月，苹果将开始销售其智能手表。除其他一些功能之外，这款产品还会追踪用户的心率。

| www.tsrus.cn/40957 |

本文为《透视俄罗斯》专稿

相关阅读：网络攻击日益猖獗 俄拟建立全国统一防范系统

作者：伊戈尔·罗津（Igor Rozin）