美国宾汉顿大学(Binghamton University)与史蒂文斯理工学院(Stevens Institute of Technology)的研究人员发现,经由动态分析消费者手上配戴的可可穿戴设备轨迹信息,就可能取得输入自动提款机(ATM)与卡片阅读机的“个人辨识码”(PIN)等密码。

这听起来有点像《碟中谍》(Mission Impossible)里步态分析系统的逆向操作?

在一篇以“朋友还是敌人?从可穿戴设备找到你的个人密码”(Friend or Foe?: Your Wearable Devices Reveal Your Personal PIN)为题的文章中,研究人员表示,结合手腕上佩戴的可穿戴装置(例如智能手环、智能手表、健身追踪器以及专有的计算机运算)内建传感器而来的数据,即可撷取动态模式,从而与一般键盘输入垫的配置进行匹配。

如此,研究人员即可破解个人的PIN与密码,第一次尝试登入的准确度就达到了80%,而在第三次尝试时的准确度更高达90%以上。

研究人员们描述了两种攻击的应用场景,包括内部攻击与数据监听,都依赖于存取未加密的传感器资料。针对内部攻击,黑客透过恶意软件,就能存取手腕上佩戴可穿戴设备的嵌入式传感器数据。

“恶意软件让攻击者在远程伺机而动,等到受害者存取基于密钥的安全系统后,开始传回传感器数据并加以汇整,以确定受害者的PIN,”Binghamton University计算机科学教授Yan Wang表示。

而在数据监听场景中,攻击者可能会在基于密钥的安全系统旁设置一个无线监听器,用于窃听可穿戴设备与智能手机中一般经由蓝牙传送的传感器数据。 20160722 PIN NT01P1

  • 研究人员的实验设置可穿戴设备以及三种不同类型的键盘:可拆式ATM键盘、ATM机器上的按键,以及一般键盘*

研究人员花费11个月的时间以20位配戴不同可穿戴设备的成人为对象,针对三种基于密钥的安全系统(包括ATM)进行了5,000次的密钥输入测试。无论穿戴者采取什么手势,研究团队都能够从可穿戴设备内部的加速度计、陀螺仪与磁力计,记录到手部细致动作的毫米级信息。

透过这些测得的资料,研究人员就能够估算出连续几次按键敲击之间的距离与方向,他们开发出一种“后向PIN序列推算算法”(Backward PIN-sequence Inference Algorithm),能以极高准确度破解密码,而无需对照键盘的架构。

另一方面,这项研究也再次强调为可穿戴设备内部数据加密以及确保IoT通讯安全的迫切需要,这同时也是最近最热门的两个话题。

编译:Susan Hong

本文授权编译自EE Times,版权所有,谢绝转载

EETC wechat barcode


关注最前沿的电子设计资讯,请关注“电子工程专辑微信公众号”。