卡巴斯基专家揭示你的智能手表有多么了解你-卡巴斯基授权文件

新的研究显示,通过收集无声加速度计和陀螺仪信号,对其分析后,可以将其转化为智能手表所有者独有的数据集,从而将智能手表变成监控所有者的工具。如果这些数据集被滥用,将能够对用户行为进行监控,包括输入的敏感信息。这是卡巴斯基实验室所做的最新的关于物联网设备激增对于用户个人生活以及信息安全影响的分析的最新发现。

卡巴斯基专家揭示你的智能手表有多么了解你

近几年,网络安全行业已经表明,私人用户数据正在成为一种非常宝贵的商品,原因在于这些数据可以进行几乎无限制地犯罪用途——从复杂的网络犯罪受害者数字肖像描绘到对用户行为的市场预测等。但是随着消费者对于个人信息被滥用的执念越深,很多人将注意力转向在线平台和数据收集手段,但是其它的不太明显的威胁来源仍未得到保护。例如,为了帮助人们维持健康的生活方式,很多人使用健身追踪器来监控自己的健身和运动情况。但是这样做可能会带来危险的后果。

包括智能手表和健身监控器在内的智能可穿戴设备经常被用在健身运动中,用来监控我们的健康状况并接收推送通知等。要实现这些主要功能,这些设备大多数都配备了内置的加速传感器(加速度计),通常与旋转传感器(陀螺仪)配合用于计算步数和识别用户的当前位置。卡巴斯基实验室专家决定研究一下这些传感器会给未授权的第三方提供哪些用户信息,仔细研究了几款来自多个供应商的智能手表。

要研究这一问题,安全专家们开发了一个相对简单的智能手表应用,可以记录来自内置加速度计和陀螺仪的信号。这些记录到的数据之后会存储到可穿戴设备存储空间中,或者被上传到蓝牙配对的智能手机上

使用可用于智能穿戴式计算能力的数学算法,可以识别用户的行为模式,用户移动的时间和位置以及进行移动的时间。最为重要的是,可以利用这些数据识别敏感的用户行为,包括在计算机上输入密码(识别准确率高达96、在ATM机上输入PIN密码(识别率约为87以及解锁手机(识别率约为64。

信号数据集本身是设备所有者独有的行为模式。使用这些数据集,第三方更进一步,尝试识别用户的身份——不管是通过在应用注册阶段要求填写的过电子邮件地址还是通过开启对安卓账户凭证的访问权限。之后,要确认受害者的详细信息只是时间问题,这些信息包括用户的日常管理以及输入重要数据的时机。考虑到用户隐私数据的价格不断增长,我们很快就会发现自己处于一个第三方利用这种手段变现的世界。

即使这些漏洞没有被第三方用于变现,而是被网络罪犯所利用,用于实现其恶意目的,那造成的后果也仅受限于他们的想象力和技术知识水平。例如,他们可以使用神经网络解密收到的信号,伏击受害者,或者在受害者经常使用的ATM机上安装盗取器。我们已经看到网络罪犯解密加速度计信号的准确率达到80可以仅使用通过智能手表传感器收集到的数据识别密码或PIN密码。

卡巴斯基实验室研究员Sergey Lurye说:“智能可穿戴设备不仅仅是缩微的工具,还是能够记录、存储和处理物理参数的网络-物理系统。我们的研究显示,即使是运行在智能手机上的简单算法,也能够捕获用户特有的加速度计和陀螺仪信号肖像。然后,这些肖像可用于对用户进行非匿名化处理并跟踪他或她的活动,包括其输入敏感信息的时机。而且这些都可以通过合法的智能手表应用来实现,并将这些信号数据偷偷发送给第三方。”

卡巴斯基实验室研究人员建议用户在使用可穿戴智能设备时,警惕以下奇怪的状况:

· 如果应用程序发送一条找回用户账户信息的请求,一定要特别注意,因为网络罪犯可以轻松地为设备所有者建立“数字指纹”。

· 如果应用程序还要求发送地理位置数据的权限,一定要注意。不要赋予你下载到智能手表上的健身追踪器应用任何额外权限,也不要使用你的企业邮件地址作为登陆名。

· 如果你的设备电池消耗过快,也应该引起注意。如果你的设备在几个小时内就用光电量,而不是一天,你应当检查一些你的设备到底在做什么。可能它正在写入信号日志,甚至更糟,正在将用户数据发送到别处。

To learn more about surveillance via smart wearable devices, read our blogpost on Securelist.com.

要了解更多有关通过智能可穿戴设备进行监视的详情,请浏览我们在Securelist.com上发表的博文。

推荐阅读