目前各类健身手环非常流行。
此类可穿戴设备可以帮助人们管理身体活动和卡路里摄入量,让人们保持体形。
同时,这些设备还会处理用户很多重要的个人数据。
那么,这些类型的可穿戴设备安全吗?卡巴斯基实验室安全研究员Roman Unuchek测试了各种健康手环和智能手机之间的交互,发现了一些意想不到的结果。
这项研究的结果表明,许多常见智能手环使用的身份验证方法允许第三方无形地连接到这些可穿戴设备并执行命令。
在某些情况下,第三方也可以从这些设备获取数据。
尽管在卡巴斯基实验室安全专家调查的可穿戴设备中,第三方只能获取用户在过去几个小时内行走的距离等个人数据。
不过,不难想象,未来下一代健康手环推出时,更多的数据将面临泄露的风险。
用户的敏感医疗数据一旦泄露,可能会造成严重的潜在危害。
事实上,这些非法连接之所以成为可能,是因为智能手环和智能手机使用的配对方法。
卡巴斯基实验室安全研究专家Roman Unuchek的研究表明,在运行Android 4.3或更高版本的Android设备上安装特殊的未经授权的应用程序可以将其与特定制造商生产的智能手环配对。
用户只需按下智能手环上的按钮即可确认配对并建立连接。
攻击者可以轻松解决这个问题,因为当今大多数健康手环都没有屏幕。
当手环振动,提示用户确认配对时,受害者无法知道连接的设备是自己的还是别人的。
卡巴斯基实验室高级恶意软件分析师Roman Unuchek进一步分析道:“这种技术概念验证测试取决于许多条件才能成功实施攻击。
而最终,攻击者无法收集真正重要的数据,例如密码。
或者然而,这证明攻击者可以利用设备开发商留下的安全漏洞。
目前的健身追踪器功能相对较少,只能统计用户的步数和跟踪用户的睡眠周期等。
但第二代这些设备即将到来,最新的设备将能够收集更多有关用户的信息,因此考虑跟踪设备和智能手机的安全性非常重要。
”根据上述发现,卡巴斯基实验室专家建议智能手环用户检查他们所使用设备的供应商,以确定该设备是否容易受到潜在攻击。