本文是基于Android和iOS系统的7款智能可穿戴设备安全性能评估报告的介绍。
1 概述 近年来,随着移动设备的快速发展,苹果、微软、小米等移动设备厂商推出了被称为智能手环的智能可穿戴设备。
正是因为这款智能穿戴设备具有良好的便携性和实用性,一经问世就受到了消费者的强烈追捧,购买需求也在不断扩大。
在消费者热衷于购买设备的同时,安全研究人员也对此类设备的安全性表示担忧。
今年,安全人员对此类智能手环进行了安全测试。
近日,我们对7款智能手环进行了新的安全测试。
在本次测试中,我们使用的样本是7款不同的基于Android和iOS平台的智能手环。
它们价格不等,功能各异,包括小米推出的Mi Band等智能穿戴设备和苹果推出的Apple Watch智能手表等智能穿戴设备。
此外,我们还进一步完善了测试程序和测试方法,以提供更详细的测试数据和更有说服力的评估结果。
尤其是在实时通信等方面,测试数据显得尤为重要。
在本文的第一部分中,我们将简要介绍本次测试的目的,解释实施本次测试的动机,并对之前的类似测试工作进行总结。
在本文的第二部分中,我们将解释有关此测试的一些概念、流程设置和执行步骤。
接下来的第三部分是测试结果的描述和解释。
在第四部分中,我们将简要讨论使用此类设备时应注意的注意事项,包括系统维护、个人隐私保护等。
即使在相对安全的使用环境中,用户也应注意维护自己的安全。
实时监控设备,防止设备内的隐私信息泄露。
最后我们会对本次测试进行总结,并确定未来测试的大方向,以及运动手环等其他可穿戴设备的具体测试方法。
图1.1 全球各地区医疗及运动手环销量 1.1 开展测试的动机及前期准备 从图1.1中我们可以看到,近年来,运动智能手环的销量呈现出呈逐年上升趋势。
这也反映出智能穿戴设备在人们的日常生活中发挥着越来越重要的作用。
正如我们在之前的测试中提到的,美国的一些用户已经享受到此类设备的便利。
他们可以通过设备了解自己的心率、血压等生理参数,以及每日步行距离等生活指标,为自己的健康提供参考。
同时,一些保险公司还为用户提供一些健康奖励保险,鼓励用户及时向保险公司报告自己的生理指标。
保险公司会根据用户的身体健康状况(几年内无重大疾病等),对用户实施奖励。
这样保险公司就可以招募更多的用户并实时了解他们的身体状况。
在德国,保险公司将免费向用户提供这些设备。
虽然他们解释说这样做的目的不是为了收集用户的身体数据指标,但这实际上只是一种说辞。
为了实现这一目标,这种运动手环需要满足很高的安全标准。
同时,根据法律部门发布的新规要求,智能手环需要添加防篡改和用户身份验证模块,以保护数据。
许多网站都争先恐后地报道这样一个事实:在很多情况下,法院会使用此类智能设备收集的数据作为法庭证据。
但根据我们的测试,用户对此需要谨慎。
因为你的私人数据很可能会被泄露。
因为这项技术要应用到法律领域还有很长的路要走,不可能一蹴而就。
本次测试的理念和执行步骤以2016年的测试为基础,此次制定的测试标准更加注重量化标准,尽量不涉及用户的个人隐私数据。
2.测试包含的概念这部分我们会讲解本次测试的测试环境,包括基本设置、执行步骤等,同时我们会以列表的形式给出参与测试的设备。
以及相关型号、性能等参数。
设备上安装的应用程序也以列表的形式给出,特别是检查特定的软件版本。
2.1 测试设置 本次测试的设置与之前的测试有所不同。
本次测试的目的是为了说明一些可以帮助手环设备完成与服务器的数据传输的潜在操作。
在设置过程中,我们需要添加一台PC作为智能手机和互联网之间的中介。
图 2.1 给出了设置说明。
当来自设备的请求被重定向到 PC 时,可以人为地监视和操纵网络流量。
黑客利用工具mitmproxy发起中间人攻击。
由于mitmproxy具有良好的可配置性且易于操作,因此非常适合监控网络流量。
mitmproxy是一个基于Linux系统的网络工具。
黑客可以利用它通过中间人攻击来破解一些加密的HTTP请求;同时,它们可以读取文本传输的内容,操纵相应的HTTP请求,重定向它们等。
我们用它来检查攻击者或用户理论上是否可以改变应用程序的同步数据传输机制,以及服务器是否可以响应类似的操作。
在测试的透明模式下,我们使用mitmproxy作为自定义网关,如图2.2所示: 图2.1 设置说明 图2.2 设置mitmproxy2.2执行测试 整个测试过程分为3步。
测试完成后,你就会得出结论。
以下是测试的三个步骤: 1. 分析原始应用程序; 2.监控并分析智能手环与智能手机之间的蓝牙通信。
(使用原来的或测试中设置的应用程序来实现这一点); 3. 分析原有应用程序之间的在线通信。
第一步是分析应用程序是否存在潜在漏洞。
在此过程中,我们对应用程序的整个安全体系进行了检查,包括应用程序中使用的代码混淆技术,以及应用程序中存储的用户敏感数据的安全性。
第二步,我们对手环和手机之间的蓝牙通信进行监控和分析。
在这个过程中,我们会实时监控手环和应用程序之间的数据传输过程,并尝试用另一部智能手机模拟这个过程,以验证设备的认证功能是否有效以及攻击者是否有可能获取数据访问权限。
在本次测试中,我们添加了新的“假计步器”检测模块。
在外设模式下,使用Android 5.0操作系统的智能手机,可以通过添加设置来启用蓝牙功能。
在外设模式下,我们可以模拟实现一个假计步器,来检查它是否可以连接到原始应用程序并实现它们之间的通信。
因此,我们首先应该通过发送HTTP请求来检查用户认证模块、数据云同步模块和固件更新模块的联网状态是否正常,看能否得到响应。
此外,为了完成此测试,我们需要评估这些安全连接模块中包含的文本内容,看看它是否可以被读取或以其他方式操纵。
测试 Apple Watch 时,某些步骤会有所不同。
我们将在3.4节中详细介绍测试结果和更多实施条件。
2.3 产品参数 在下面的表2.1和2.2中,我们列出了测试设备的相关性能参数,以及测试中使用的应用程序和应用程序版本。
可以看到,我们一共选取了8款智能穿戴设备进行测试,其中1款采用iOS系统,另外7款基于Android系统。
之所以选择这八款设备,是因为它们是当前智能穿戴设备市场的宠儿,受到消费者的一致追捧,并且普及率很高,可以让测试结果非常有说服力。
测试中使用的应用程序是从谷歌官方应用商店或苹果应用商店下载的。
由于本次测试持续时间较长,并非所有测试版本都能令人信服。
只有最新版本的应用程序才能说明问题。
该版本测试分析结果如表 2.2 所示: 表 2.1 设备性能参数说明 表 2.2 测试 App 版本说明 3 测试结果 表 3.1 列出了计步模块、应用程序、在线通讯三个方面得到的测试结果。
结果。
具体如下: 表3.1 测试结果 3.1 计步模块 测试内容包含在计步模块中。
可以帮助评估用户设备的安全级别。
这些内容主要包括:显示第三方计步软件的状态、对未经授权的第三方访问设置防火墙防护、防止用户或第三方软件篡改设备信息等。
可控蓝牙信号 默认设置下智能手环的低功耗蓝牙(Bluetooth-LE)可以与一定范围内的其他蓝牙设备连接。
因为这类蓝牙会“主动”创建自己的“存在感”,并向其他蓝牙设备“展示”自己的物理地址。
从安全角度来看,这一“举动”对设备带来了两个潜在威胁。
首先,默认开启的蓝牙对用户的个人数据构成威胁。
任何搜索该蓝牙地址的人都可以窃取数据;同时,设备也很容易成为黑客追踪的目标,尤其是当用户长期使用固定的MAC地址作为连接地址时,更容易被追踪。
被黑客追踪;其次,此类设备容易受到黑客攻击。
因为黑客可以根据你的蓝牙状态轻松锁定你的位置。
当然,通过实施其他保护机制,切断不安全的连接,也可以保护设备的安全。
不过,最安全的方法是不要实时打开设备中的蓝牙。
当需要数据传输时,再次打开蓝牙。
数据传输完成后,立即关闭。
这是最安全的方法。
测试过程中,当测试环境中没有用户蓝牙连接请求时,我们使用了一定的方法来检测此类设备中的蓝牙可见性。
测试结果显示,只有4台测试设备具有可见性控制机制。
它们是微软、Pebble 和 Mobile Action 生产的智能手表。
在这三个公司的产品中,只有微软和Pebble的智能手表拥有这种稳定的控制机制。
Mobile Action生产的Q-Band智能手环具有可见性机制,可以通过按钮激活。
但在测试过程中,我们发现Q-Band在未激活的情况下仍然可以搜索到Q-Band发出的蓝牙信号。
此外,我们还使用了一些黑客技术来搜索Q-Band的蓝牙信号,而无需激活可见性机制。
除了上述三款Android设备外,其他设备都没有这种可见性控制机制。
因此,其他智能手环也会在没有蓝牙连接请求的情况下打开蓝牙,这使得设备非常容易被追踪。
有些设备可以在未经授权的情况下向设备传输数据,造成严重威胁。
可控的网络连接 根据测试,我们发现: 4款产品具有防御机制:能够拒绝未经授权的网络连接请求。
英特尔生产的Basis Peak智能手表和微软Band 2智能手环均采用一对一独立连接策略。
建立连接时,用户首先确认双方的安全性,然后创建双方唯一的连接。
同时系统会默认该连接有效并对其进行保护。
其他连接请求被视为非法并被拒绝。
对于Pebble Time智能手表来说,它允许多个设备同时连接到它,但需要用户确认每个未知设备。
这带来了一定的安全风险。
其次,小米MiBand智能手环采用了一种简单有效的方式来处理这个问题,即:当有连接信号出现时,首先拒绝所有信号,只有在用户做出选择后才进行连接。
(其实也是一种屏蔽做法) 添加适当的认证模块 小米手环自带了简单实用的认证机制。
在该设备中,存储了与用户相关的数据,包括:用户号码、用户姓名、用户身高、体重等数据。
这些数据以静态、未加密的数据格式保存。
只有当所有信息完全匹配时,设备才会允许用户登录。
此外,我们还使用重新发送认证消息的方法尝试从Mobile Action、Runtastic和Striiv登录智能手环,但均失败。
这三个设备都不支持这种验证方法。