小心，智能手环可能会泄露你的银行卡密码--百度百家
小心，智能手环可能会泄露你的银行卡密码
分享到微信朋友圈
在不接触实物的情况下，智能硬件也可以被破解，这就是 IOT 时代的安全特色。
本文为极客公园原创，微信：geekpark
极客公园作者：张宇婷
安全专家刘健皓和他所在的攻防实验室同事，一起做了 2 个关于智能手环的安全实验。
一款新出厂的智能手环，在不打开包装的情况下，通过捕捉手环发出的蓝牙信号，刘健皓控制了这个未被拆开包装的手环，并让它在包装盒子里不停震动。
第二个实验中，一位同事带上手环走到另一个屋子。刘健皓通过捕捉手环信号，将同事的位置移动在一个坐标轴中描绘出来。当这个同事站在电脑前打字时，手环显示的位置点闪烁不停；同事挥动手臂，手环位移出一条弧线。
「这背后的原理是通过破解智能手环或手表的 3D 加速器行程轨迹，获取用户的位移信息。因为手环带有电量，即便未开封，也可以获取蓝牙信号，从而破解加速器。」刘健皓说：「如果用户带着手环在 ATM 机上取款，黑客可以还原出键盘敲击的顺序，拿到刚刚输入的密码。取款机的数字键盘比电脑键盘简单地多呢！」
完整还原你刚刚做过的手部动作，甚至身体的位移
远在伊利诺伊大学分校的副教授 Romit Roy Choudhry 也做了一个和刘健皓相似的实验。
WooYun 知识库上，作者 lazynms 描述道：Romit 教授用过一个本地的手机应用程序，能够获取到三星 Smartwatch 可穿戴设备上的数据。背后的技术原理是&Smartwatch 的传感器存在泄漏，这个漏洞可以让穿戴着智能设备的用户，在敲击键盘打字时，将传感器捕捉到的数据拱手给黑客。
除了手部动作，智能手环和手表还可以还原出人体位置移动。Wooyun 和 NumenTeam 联合调研了日渐火爆的儿童手表品牌。这些儿童手表的主要功能涵盖了：1 定位、回家导航；2 发消息、打电话，向家长求救；3 监听儿童周围环境；4 运动统计。
一些厂商生产的手表后台查询接口没有设置严格的用户权限，甚至没有设置账户权限控制，再遇到编码简单的设备 ID，黑客很容易破解这些儿童手表。本是为保证儿童安全的手环和手表，不仅起不到安全作用，甚至可能暴露儿童的更多信息。黑客完全可以绘制一张实时地图，来监控全国各地的孩子们。
Wooyun 和 NumenTeam 通过获取这些不安全的手表数据，绘制出了一个京津塘地区儿童分布数据图。
隔空控制设备可能是所有智能硬件都要面临的安全挑战
以往黑客想控制一台智能设比还需要进行物理接触，但现在大多手环采用低功耗蓝牙技术，手环冲破了电池使用的限制。只要电池有电，手环的蓝牙就一直有对外连接的信号，黑客完全可以在不打开一个手环包装的情况下控制手环。
刘健皓告诉极客公园：「正是因为越来越多的智能硬件可以结合物联网技术，比如无线射频，这就像是给设备提供了一个连接互联网的接口，黑客可以通过接口和网络接触到这个设备，不接触设备本身就可以控制设备。」
WooYun 知识库《HackPwn2015：IoT 智能硬件安全威胁分析》一文提到：智能硬件被攻击的三个数据交互的信息点：硬件自身固件、APK（AndroidPackage 安卓安装包）和云端 API。
简单来说，一款智能手环的功能主要由云端、设备终端和手机终端构成，三者之间涉及到智能设备、云端和手机之间的数据交换，在信息交换过程中，黑客通过蓝牙等破解了设备，就可以「在空中」截获信息，甚至控制设备的运行。比如可抓取手机短信、通讯录以及你的生活习惯。
为什么市场上难以找到专门的智能硬件安全服务？
既然智能硬件的安全问题已经产生，消费者和用户的心中一定会有疑问，为什么硬件生产公司不找安全公司合作，快速提高硬件安全的门槛呢？
一家中国本土的智能手环芯片厂商创始人朱宇东认为：「尽管智能手环或手表存在很大的安全隐患，但安全市场还没有完全苏醒。」朱东宇和他的上下游合作伙伴，都没有找到市场上提供完整的智能终端安全解决方案的安全厂商。
这背后可能有 2 个原因：一是不同行业的智能硬件安全问题差别很大，从技术到安全级别，大家需要的安全服务都不同。其二，消费者在买智能手环时，并不会因为想得到最重要的一款手环，就多付钱。
像智能汽车、智能家居的安全已经逐渐成为非常火爆的话题，但智能手环的安全问题还没有爆发。
刘健皓说：「目前市面上甚至还很少有对智能手环用户提供的保险，国家也没有统一的标准和安全规范。」
Medium《Disruption of Mental Work》一文中写到物联网可能与生活有很多方面的交汇。
「物联网」(Internet Of Things) 指的是将各种信息传感设备，如射频识别装置、红外感应器、全球定位系统、激光扫描器等种种装置与互联网结合起来而形成的一个巨大网络。
虽然智能手环存在危险，但你不需要那么担心
「一般来说黑客最愿意攻击的手环大多是技术复杂，应用功能较多的手环，比如同时拥有蓝牙、记步、通话，甚至可以用一个手环控制家里多个智能家电，这样的手环技术门槛高，加上软件代码量大，在技术对接上有很多空间，这才是黑客的目标。」刘健皓认为。
个人的生活习惯和行为轨迹很少会成为黑客攻击的目标，除非是某一个重要人物被定向攻击。攻击是一件需要付出成本的事情，在攻击成本大于获取信息的价值时，普通用户并不会被黑客盯上。
在购买手环之前，多看看网上不同手环的功能测评，查一查该手环是否曝出过大的安全漏洞或者信息泄露事件。
尽量少选联动性比较高的手环，比如有的手环可以控制多个智能家电或其他的智能设备。一般来说功能越多，接口越多，越容易让黑客以电视、洗衣机等硬件作为跳板攻击到手环。
一旦自己使用的手环出现问题，也不要惊慌。第一时间更改密码，把情况反映给厂商。这就是智能手环佩戴的正确姿势。
厂商试图寻找「安全」和易用性、成本之间的平衡点
安全宝创始人兼 CEO 马杰认为：「对于智能硬件厂商来说，要不要提高自己的安全门槛，建立多高的安全门槛取决于安全与产品易用性、成本之间的平衡点。这个平衡点则来自于智能硬件的具体使用场景。比如涉及到个人健康、财务和重要隐私的智能硬件，则要在认证、加密和授权上提高安全级别。」
朱宇东认为，智能手环和手表的厂商可以在几个维度建立自己的安全门槛：「首先可以是芯片和模块，其次是整个系统。再者可以通过「硬件＋软件」的配合进行安全认证，对信号加密，对传输通道加密，软硬件结合。最后则是在授权层面。」
马杰认为：「从手机发出命令开始，到网络传输加密，再到云端，从云端到家庭的网关。所有可能存在的风险点，都要试图做加密和认证。」
「厂商在对硬件产品测试时，不能仅仅以局域网测试，而是将安全级别提升到公网访问的级别，更多考虑到可能在公网上存在的黑客。」刘健皓说。
「实际上，厂商还应该注重手环对应人群的个性化安全问题。比如老年人用的体征监测类手环，则要加重在数据回传上的安全处理。儿童类手环，则要在定位的功能上，增加儿童手表的隐蔽性，一旦孩子被拐卖，让手环难以被察觉，从儿童身上拿走。」
关于手机加速规如何泄露信息，推荐大家看：Ted 演讲《你所拥有的设备都能被黑》在Youtube上的视频。
极客公园微信：geekpark
分享到微信朋友圈
在手机阅读、分享本文
还可以输入250个字
推荐文章RECOMMEND
阅读：22万
阅读：12万
阅读：10万
热门文章HOT NEWS
当前房地产市场问题已经走上不归路，不到房地产泡沫彻底的破灭是不...
机器之心 Synced
百度新闻实验室
扫描二维码下载 新闻手机客户端
百度新闻-微信公众号
百度百家-微信公众号警惕网银密码泄露风险_第一金融网
&&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&
&您现在的位置：&&>>&&>>&&>>&正文
警惕网银密码泄露风险
11:41:07&&文章来源：本站原创&&作者：何冰
核心提示：
&&& 现在各家银行网上银行交易采用的网银盾、动态口令卡等安全性较高，但如果客户设置密码较简单或不慎泄露密码还是存在一定风险。以网上银行网银盾、动态口令卡等高安全介质产品来说，客户在忘记网上银行登陆密码找回时需要通过手机验证码和交易密码双重验证找回。但如果正常登陆网上银行后在安全中心自助修改登陆密码时不需要验证交易密码即可成功修改，这一特点给一些不法分子做案留下了可乘之机。如客户设置密码过于简单或由于不慎在网上泄露了自己的身份信息和密码，不法分子可以在短时间内进入客户网银修改客户的登陆密码，造成客户无法正常登陆操作，锁定客户帐户内资金，为犯罪分子进一步做案赢得时间。建议客户使用时登陆密码设置高强度密码，同时也尽快升级这一操作，把帐户内修改网银登陆密码当作一次交易，需验证交易密码和手机验证码来完成，增加不法分子修改客户登陆密码的难度，保证客户资金安全。
【】【】【】【】【】
上一篇文章： 下一篇文章： 没有了
第一金融网免责声明：1、本网站中的文章（包括转贴文章）的版权仅归原作者所有，若作者有版权声明的或文章从其它网站转载而附带有原所有站的版权声明者，其版权归属以附带声明为准。2、文章来源为均为其它媒体的转载文章，我们会尽可能注明出处，但不排除来源不明的情况。转载是处于提供更多信息以参考使用或学习、交流、科研之目的，不用于 商业用途。转载无意侵犯版权，如转载文章涉及您的权益等问题，请作者速来电化和函告知，我们将尽快处理。来信: (请将#改为@)。3、本网站所载文章、数据、网友投稿等内容纯属作者个人观点，仅供投资者参考，并不构成投资建议，与第一金融网站无关。投资者据此操作，风险自担。如对本文内容有疑义，请及时与我们联系。
【发表评论】（网友评论内容只代表网友观点，与本站立场无关！）
　评论内容：
请遵守及中华人民共和国其他各项有关法律法规。
严禁发表危害国家安全、损害国家利益、破坏民族团结、破坏国家宗教政策、破坏社会稳定、侮辱、诽谤、教唆、淫秽等内容的评论 。
用户需对自己在使用本站服务过程中的行为承担法律责任（直接或间接导致的）。
本站管理员有权保留或删除评论内容。
评论内容只代表网友个人观点，与本网站立场无关。
?&?&?&?&?&?&?&?&?&?&?&
?&?&?&?&?&?&?&?&?&?&?&
?&?&?&?&?&?&?&?&?&?&?&
?&?&?&?&?&?&?&?&?&?&?&?&?&?&?&
?&?&?&?&?&?&?&?&?&?&?&?&?&?&?&
?&?&?&?&?&?&?&?&?&?&?&?&?&?&?&
?&?&?&?&?&?&?&?&?&?&?&?&?&?&?&免责声明：凡本网注明&来源：XXX（非舜网）&的作品，均转载自其它媒体，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。本网转载其他媒体之稿件，意在为公众提供免费服务。如稿件版权单位或个人不想在本网发布，可与本网联系，本网视情况可立即将其撤除。建行网银盾安全吗？计算机中毒后密码是否会泄露？求大神帮助_百度知道
建行网银盾安全吗？计算机中毒后密码是否会泄露？求大神帮助
提问者采纳
还要将U盾插入电脑的USB接口，并不能偷到你的钱。
拥有U盾的客户在使用用户名和密码登录网上银行后，或者连U盾也丢失但U盾的密码仍然掌握在自己手中。U盾可以有效防范诸如假网站。即使黑客能盗取你的密码、U盾或口令卡网上银行是很安全的、U盾或口令卡，并输入U盾密码、密码泄露等各种可能的风险，他人都无法盗用资料。如果客户不小心泄露了网上银行用户名和密码，只要U盾仍然掌握在自己手中，才能进行交易、黑客窃取，但由于黑客并没有你的数字证书，经银行系统多重验证无误后，方可完成支付业务，因为要有数字证书
其他类似问题
为您推荐：
建行网银盾的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁电脑换零件时 会泄露个人信息吗 比如密码、网银号密码什么的_百度知道
电脑换零件时 会泄露个人信息吗 比如密码、网银号密码什么的
提问者采纳
别听他们骗你
冠希是怎么载的
提问者评价
其他类似问题
为您推荐：
其他3条回答
大多是无关紧要的，密钥证书在你的银盾中。不过网银号密码是不会泄露的硬盘中可能会有一些信息会泄露
银号的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁