物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊

蘋果、三星中槍:沒有一個智能手表是安全的!

作者:本站采編
來源:FreeBuf黑客與極客
日期:2015-07-27 14:21:21
摘要:你有智能手表?那你可得小心了?;萜昭芯咳藛T測試后發(fā)現(xiàn),包括蘋果、三星在內(nèi)的所有流行智能手表都存在嚴重安全漏洞。


  你有智能手表?那你可得小心了?;萜昭芯咳藛T測試后發(fā)現(xiàn),包括蘋果、三星在內(nèi)的所有流行智能手表都存在嚴重安全漏洞。

  沒有一個智能手表是安全的

  惠普公司測試了當今十大流行智能手表的安全性(包括數(shù)據(jù)加密、密碼保護和隱私問題)后得出結(jié)論——三星和蘋果在內(nèi)的所有智能手表都不安全,極易遭到黑客攻擊。

  這項研究結(jié)果最令人震驚的是居然沒有發(fā)現(xiàn)有一個產(chǎn)品是安全的,每種設備都至少含有一個嚴重的安全漏洞,黑客可以輕易黑掉。

  隨著智能手表的發(fā)展,制造商需要密切關注客戶數(shù)據(jù)的安全,因為這些可穿戴設備可能會泄露用戶信息。惠普的安全經(jīng)理Jason Schmitt在一份報告中說道:

  “智能手表發(fā)展至今,這類平臺會吸引更多黑客的關注,尤其是它在傳輸個人數(shù)據(jù)或接入了公司網(wǎng)絡的時候?!?/p>

  這份報告中提及的公司包括了蘋果、Pebble、三星以及索尼幾家科技巨頭。

  漏洞分析

  測試報告發(fā)現(xiàn)的主要問題如下:

  1.缺乏傳輸加密:盡管所有產(chǎn)品都使用了SSL/TLS協(xié)議,但是研究人員發(fā)現(xiàn)40%的設備中可能受貴賓犬(POODLE)漏洞影響。其中可能使用弱加密,或者使用SSLv2協(xié)議。

  2.接口不安全:30%的智能手表使用的基于云的WEB接口,這些都容易受到攻擊。黑客可以無限制嘗試,爆破密碼。

  3.用戶身份驗證不足:不足30%的智能手表未能提供雙重認證,也沒有嘗試三到五次密碼就鎖定賬戶的限制機制。

  4.固件軟件不安全:70%的固件更新有問題。那些可穿戴設備,包括智能手表,常常不接受加密的更新,但是不少產(chǎn)品使用了簽名來進行認證防惡意更新。缺乏加密導致了設備不能下載文件和分析。

  5.隱私問題:智能手表也存在泄露個人隱私的問題。這類設備幾乎都會收集某種形式的個人信息,如用戶名、地址、出生日期、性別、心率、體重,以及其他健康數(shù)據(jù)。

  惠普表示,他們并不會詳細公布已經(jīng)測試的智能手表廠商名字。但是他們正在積極和廠商溝通,在產(chǎn)品推出之前修復漏洞,用戶保障安全。

  與此同時,安全專家建議用戶不要把智能手表不要連接到汽車和房屋進行智能控制,除非此前產(chǎn)品采用了強壯的安全認證手段。

人物訪談