首页 > IoT > 报告:被测智能手表100%存在安全漏洞!
报告:被测智能手表100%存在安全漏洞!
来源:Atmel  时间:2015-09-10

HP 的这份报告宣称,大部分的智能手表都不具备充分的认证手段和缺少加密,引发人们对智能手表隐私性的担心。

尽管可穿戴技术的受欢迎程度正在不断提高,与此相关的嵌入式安全保障机制却已经被远远地落在了后面。这是 HP 公司最近所进行的一次最新的市场调查报告中的结论,这份调查报告在当今大部分最受欢迎的手腕佩戴计时工具上都发现了严重的安全漏洞。

报告:被测智能手表100%存在安全漏洞!

毫无疑问,可穿戴设备领域在过去的几个月中已经呈现出巨大的增长态势,分析人士预测,到2019年时可穿戴设备的规模将会达到1.5亿台。但是,随着像苹果公司的 Apple Watch、摩托罗拉公司的 Moto 360以及三星公司的 Gear 等智能手表逐渐走上主流产品的舞台,恶意黑客们已经找到了一个新的突破点,并已经做好准备从这个突破点中将消费者最为宝贵和机密的信息偷到手。

在其名为《智能手表安全研究》的调查报告中,HP 公司将人工检测与使用数字工具检测结合在一起,再加上其独有的“HP 按需强化方法”,对他们认为是目前市场上“顶尖”的10款手表进行了评估。该团队在调查中发现,许多手表由于缺乏最基本的、属于行业标准水平的安全保障措施而显得极为脆弱。尽管这个调查结果确实令人感到失望,但是考虑到最近发生的一系列黑客盗取数据事件,却也并没有出乎人们的意料之外。

HP 公司安全及强化业务总经理 Jason Schmitt 解释说:“智能手表才刚刚开始成为我们生活的一个部分,但是却已经带来了一个新的可能性,为敏感信息和敏感活动所遭受到的新威胁打开了一扇门。随着佩戴智能手表的人越来越多,这个平台对那些居心叵测的人来说将会越来越具有吸引力,所以我们在通过智能手表传递私人信息或者与企业网络建立链接之前一定要采取谨慎措施。”

智能手表排在前几位的缺陷包括认证措施不足、缺少加密手段、网络接口不安全、以及其他对私密性的担忧等。不仅每一款接受测试的手表都缺少二元认证过程以及在输入密码错误三到五次后即锁定账户这项功能,而且 HP 公司还将高达30%的这种可穿戴设备评定为极易受到“账户收割”的攻击,“账户收割”是一种可被黑客使用的技术,这种技术利用用户较弱的密码结构以及设备上没有账户锁定功能等弱点,再结合用户枚举等方法破解密码、访问设备或者盗取数据。

报告:被测智能手表100%存在安全漏洞!

此外,调查人员还发现这些智能手表没有传输加密协议。虽然每款手表都使用 SSL/TLS 进行了加密,但是有40%的手表对于已知的一些攻击漏洞如 POODLE 等都毫无防守之力、允许使用较弱的加密程序或者依然使用 SSL v2。

30%接受测试的手表都使用基于云的网络接口,所有这些接口都让人对其在账户枚举方面的缺陷感到担忧。在另外一个调查报告中,10款手表中有3款都在其移动应用程序中暴露出账户枚举的问题。这种缺陷能够让黑客通过从重置密码机制所接收到的反馈而发现有效的用户账户。

更为糟糕的是,10款接受分析的手表中有7款据说在固件升级方面都存在问题。调查人员披露说,大部分的智能手表都没有接收过加密的固件升级。尽管所发布的若干升级的目的是为了防止恶意代码或者受到病毒感染的升级被安装到智能手表上,但是由于缺乏加密,所以文件也可以在别的地方被下载和查阅。

如果所有的这些还不够让人感到害怕的话,HP 的报告还披露说,这种可穿戴设备的另外一个风险是将个人的私密信息暴露在外,这其中就包括姓名、住址、生日、体重、性别、心率等。考虑到一些产品的账户枚举缺陷以及较弱的密码,这种对个人数据的暴露风险肯定会让人感到不安。

HP 公司总结道:“虽然制造商正在将必要的安全措施整合到智能手表当中,我们依然敦促消费者在选购智能手表时将安全因素考虑在内。我们建议用户不要启用对敏感密码的访问功能,例如家门或者汽车密码锁的密码等信息,除非有较强的认证机制作为保护。此外,启用密码功能,使用较强的密码组合,运用二元认证机制,这些都有助于阻止对隐私数据的非法访问。”

如欲深入了解详细信息,请点击这里查看 HP 公司的完整调查报告,并了解如何将基于硬件的安全保障措施嵌入到未来可穿戴设备的设计当中

点击阅读英文原文