2 個關于智能手環的安全實驗

　　安全專家劉健皓和他所在的攻防實驗室同事，一起做了 2 個關于智能手環的安全實驗。

　　一款新出廠的智能手環，在不打開包裝的情況下，通過捕捉手環發出的藍牙信號，劉健皓控制了這個未被拆開包裝的手環，并讓它在包裝盒子里不停震動。

　　第二個實驗中，一位同事帶上手環走到另一個屋子。劉健皓通過捕捉手環信號，將同事的位置移動在一個坐標軸中描繪出來。當這個同事站在電腦前打字時，手環顯示的位置點閃爍不停;同事揮動手臂，手環位移出一條弧線。

　　「這背后的原理是通過破解智能手環或手表的 3D 加速器行程軌跡，獲取用戶的位移信息。因為手環帶有電量，即便未開封，也可以獲取藍牙信號，從而破解加速器。」劉健皓說：「如果用戶帶著手環在 ATM 機上取款，黑客可以還原出鍵盤敲擊的順序，拿到剛剛輸入的密碼。取款機的數字鍵盤比電腦鍵盤簡單地多呢!」

　　完整還原你剛剛做過的手部動作，甚至身體的位移

　　遠在伊利諾伊大學分校的副教授 Romit Roy Choudhry 也做了一個和劉健皓相似的實驗。

　　WooYun 知識庫上，作者 lazynms 描述道：Romit 教授用過一個本地的手機應用程序，能夠獲取到三星 Smartwatch 可穿戴設備上的數據。背后的技術原理是 Smartwatch 的傳感器存在泄漏，這個漏洞可以讓穿戴著智能設備的用戶，在敲擊鍵盤打字時，將傳感器捕捉到的數據拱手給黑客。

　　除了手部動作，智能手環和手表還可以還原出人體位置移動。Wooyun 和 NumenTeam 聯合調研了日漸火爆的兒童手表品牌。這些兒童手表的主要功能涵蓋了：1 定位、回家導航;2 發消息、打電話，向家長求救;3 監聽兒童周圍環境;4 運動統計。

　　一些廠商生產的手表后臺查詢接口沒有設置嚴格的用戶權限，甚至沒有設置賬戶權限控制，再遇到編碼簡單的設備 ID，黑客很容易破解這些兒童手表。本是為保證兒童安全的手環和手表，不僅起不到安全作用，甚至可能暴露兒童的更多信息。黑客完全可以繪制一張實時地圖，來監控全國各地的孩子們。

　　Wooyun 和 NumenTeam 通過獲取這些不安全的手表數據，繪制出了一個京津塘地區兒童分布數據圖

　　隔空控制設備可能是所有智能硬件都要面臨的安全挑戰

　　以往黑客想控制一臺智能設比還需要進行物理接觸，但現在大多手環采用低功耗藍牙技術，手環沖破了電池使用的限制。只要電池有電，手環的藍牙就一直有對外連接的信號，黑客完全可以在不打開一個手環包裝的情況下控制手環。

　　劉健皓告訴極客公園：「正是因為越來越多的智能硬件可以結合物聯網技術，比如無線射頻，這就像是給設備提供了一個連接互聯網的接口，黑客可以通過接口和網絡接觸到這個設備，不接觸設備本身就可以控制設備。」

　　WooYun 知識庫《HackPwn2015：IoT 智能硬件安全威脅分析》一文提到：智能硬件被攻擊的三個數據交互的信息點：硬件自身固件、APK(AndroidPackage 安卓安裝包)和云端 API。

　　簡單來說，一款智能手環的功能主要由云端、設備終端和手機終端構成，三者之間涉及到智能設備、云端和手機之間的數據交換，在信息交換過程中，黑客通過藍牙等破解了設備，就可以「在空中」截獲信息，甚至控制設備的運行。比如可抓取手機短信、通訊錄以及你的生活習慣。

　　為什么市場上難以找到專門的智能硬件安全服務?

　　既然智能硬件的安全問題已經產生，消費者和用戶的心中一定會有疑問，為什么硬件生產公司不找安全公司合作，快速提高硬件安全的門檻呢?

　　一家中國本土的智能手環芯片廠商創始人朱宇東認為：「盡管智能手環或手表存在很大的安全隱患，但安全市場還沒有完全蘇醒。」朱東宇和他的上下游合作伙伴，都沒有找到市場上提供完整的智能終端安全解決方案的安全廠商。

　　這背后可能有 2 個原因：一是不同行業的智能硬件安全問題差別很大，從技術到安全級別，大家需要的安全服務都不同。其二，消費者在買智能手環時，并不會因為想得到最重要的一款手環，就多付錢。

　　像智能汽車、智能家居的安全已經逐漸成為非常火爆的話題，但智能手環的安全問題還沒有爆發。

　　劉健皓說：「目前市面上甚至還很少有對智能手環用戶提供的保險，國家也沒有統一的標準和安全規范。」

　　Medium《Disruption of Mental Work》一文中寫到物聯網可能與生活有很多方面的交匯

　　「物聯網」(Internet Of Things) 指的是將各種信息傳感設備，如射頻識別裝置、紅外感應器、全球定位系統、激光掃描器等種種裝置與互聯網結合起來而形成的一個巨大網絡。

　　雖然智能手環存在危險，但你不需要那么擔心

　　「一般來說黑客最愿意攻擊的手環大多是技術復雜，應用功能較多的手環，比如同時擁有藍牙、記步、通話，甚至可以用一個手環控制家里多個智能家電，這樣的手環技術門檻高，加上軟件代碼量大，在技術對接上有很多空間，這才是黑客的目標。」劉健皓認為。

　　個人的生活習慣和行為軌跡很少會成為黑客攻擊的目標，除非是某一個重要人物被定向攻擊。攻擊是一件需要付出成本的事情，在攻擊成本大于獲取信息的價值時，普通用戶并不會被黑客盯上。

　　在購買手環之前，多看看網上不同手環的功能測評，查一查該手環是否曝出過大的安全漏洞或者信息泄露事件。

　　盡量少選聯動性比較高的手環，比如有的手環可以控制多個智能家電或其他的智能設備。一般來說功能越多，接口越多，越容易讓黑客以電視、洗衣機等硬件作為跳板攻擊到手環。

　　一旦自己使用的手環出現問題，也不要驚慌。第一時間更改密碼，把情況反映給廠商。這就是智能手環佩戴的正確姿勢。

　　廠商試圖尋找「安全」和易用性、成本之間的平衡點

　　安全寶創始人兼 CEO 馬杰認為：「對于智能硬件廠商來說，要不要提高自己的安全門檻，建立多高的安全門檻取決于安全與產品易用性、成本之間的平衡點。這個平衡點則來自于智能硬件的具體使用場景。比如涉及到個人健康、財務和重要隱私的智能硬件，則要在認證、加密和授權上提高安全級別。」

　　朱宇東認為，智能手環和手表的廠商可以在幾個維度建立自己的安全門檻：「首先可以是芯片和模塊，其次是整個系統。再者可以通過「硬件+軟件」的配合進行安全認證，對信號加密，對傳輸通道加密，軟硬件結合。最后則是在授權層面。」

　　馬杰認為：「從手機發出命令開始，到網絡傳輸加密，再到云端，從云端到家庭的網關。所有可能存在的風險點，都要試圖做加密和認證。」

　　「廠商在對硬件產品測試時，不能僅僅以局域網測試，而是將安全級別提升到公網訪問的級別，更多考慮到可能在公網上存在的黑客。」劉健皓說。

　　「實際上，廠商還應該注重手環對應人群的個性化安全問題。比如老年人用的體征監測類手環，則要加重在數據回傳上的安全處理。兒童類手環，則要在定位的功能上，增加兒童手表的隱蔽性，一旦孩子被拐賣，讓手環難以被察覺，從兒童身上拿走。」