我们生活在一个智能设备的时代,智能化的东西可以使我们的生活变得更加的简单和方便,但同时也带来了一定的风险,比如当智能可穿戴设备与我们的手机连接时,就有可能泄露你的隐私信息。智能设备是一把双刃剑,方便了我们,也方便了攻击者。
安全研究人员近日研究发现,在智能手表和安卓手机传输数据时存在安全漏洞,攻击者可以借此暴力攻击用户的手机,然后拦截、破解用户的私密数据,比如你在Facebook上的聊天内容。
蓝牙PIN码太过简单
智能手表和安卓设备之间用蓝牙传输信息时使用的是一个6位数的PIN码。熟知各种运算的各位大神应该知道6位数的PIN码意味着大约有100万种密码组合方式,100万对于外行人来说是很庞大的一个数字,但是对于攻击者来说简直就是a piece of cake,他们能很轻松的暴力破解掉这6位PIN码,并把聊天内容全部明文化。
罗马尼亚安全公司Bitdefender的研究员在三星Gear Live智能手表和其配套的谷歌Nexus 4手机(Android 4.2操作系统)之间进行了一次概念验证(POC)攻击测试,他发现在这些设备之间蓝牙传输的PIN码很容易被攻击者暴力破解掉,进而仅通过嗅探工具即能获取网络通信内容。
科普:暴力攻击
暴力攻击就是攻击者尝试用所有可能的方法破解密码。对于本文来说,一旦攻击者找到了匹配的PIN码,他们就可监控智能手机和智能手表之间的数据传输。
视频演示
下面的视频就是罗马尼亚的安全研究员对三星Gear Live智能手表和其配套的谷歌Nexus 4(Android 4.2操作系统)进行的操作演示。
视频源地址:https://www.youtube.com/watch?v=utVnrq5uCuM
研究人员解释说他们的研究结果和他们预期的结果非常符合——智能设备和智能手机之间传送信息时会泄露用户信息,研究者们毫不费力的就破解了可穿戴设备(智能手表)和智能手机(谷歌Nexus 4)之间的通信密码。这一新的发现对于特别重视个人信息的用户和日益增长的智能手表、可穿戴设备市场尤为重要,对于想购买可穿戴设备的个人来说,在购买时可要格外注意这点了。
安全建议
1. 使用近场通信(NFC)输入PIN码,但是这样会提高设备的复杂性和成本。
2. 使用谷歌的原始设备制造商(OEMs)传输数据。
原文地址:http://thehackernews.com/2014/12/Android-Smartwatch-Hacked.html
