目前,各种类型的健身手环非常流行。这类可穿戴设备能够帮助人们管理自己的体力活动和卡路里摄入,让人们保持体形。与此同时,这些设备也会处理用户的不少重要个人数据。那么,这类可穿戴设备究竟是否安全呢?卡巴斯基实验室安全研究专家RomanUnuchek对多种健康手环同智能手机之间的互动进行了检测,并且发现了一些意想不到的结果。
这项研究的结果显示,多种常见智能手环所使用的验证手段均允许第三方隐身连接至这些可穿戴设备,并执行命令。在有些情况下第三方还可以从这些设备中获取数据。尽管在卡巴斯基实验室安全专家所调查的可穿戴设备中,第三方仅能获取使用者在过去几个小时中行走距离等个人数据。但是,不难想象,未来当下一代健康手环上市后,将会有更多数据面临泄露的风险。而使用者的敏感医疗数据一旦泄漏,则可能造成严重潜在危害。
实际上,这些非法连接之所以成功是因为智能手环和智能手机所使用的配对方法。根据卡巴斯基实验室安全研究专家RomanUnuchek的研究,在运行Android4.3或更高版本的安卓设备上安装一款特殊的未授权应用,就可以同特定厂商生产的智能手环进行配对。用户仅需按下智能手环上的一个按钮,对配对进行确认,即可建立连接。攻击者可以很容易解决这一难题,因为现在大多数健康手环都没有屏幕。当手环震动,提示用户对配对进行确认时,受害者无法知晓所连接的设备究竟是自己的,还是他人的设备。
卡巴斯基实验室高级恶意软件分析师RomanUnuchek进一步分析表示:“这一概念性技术验证测试取决于很多条件,才能够成功进行攻击。而且最后,攻击者也无法收集到真正重要的数据,例如密码或信用卡号码等。但是,它却证实攻击者可以利用设备开发者留下的安全漏洞进行攻击。目前的健身追踪器功能相对较少,仅能够计算使用者所走的步数,跟踪用户的睡眠周期等。但是这类设备的第二代产品即将推出,最新设备将能够收集更多关于用户的信息。所以,思考这些设备的安全性非常重要。我们需要确保追踪器设备同智能手机之间的互动得到适当的安全保护。”
鉴于上述发现,卡巴斯基实验室专家建议智能手环用户检查所用设备的供应商,以确定该设备是否易于遭受潜在攻击。