2015年将至,苹果公司即将在新年亮相的Apple Watch被看做是智能手表甚至是可穿戴设备市场的引爆点。但是安全专家们最近发现智能手表存在严重安全缺陷,给消费者、厂商和市场分析师们浇上了一盆冷水。
包括苹果尚未上市的Apple Watch在内,目前的智能手表产品通常需要与智能手机搭配使用,作为智能手机的一个终端采集和显示用户的私人敏感信息,包括日程、短信、邮件、生物特征数据、支付信息等。
但是智能手机与智能手表之间的通讯仅仅依靠6位数的PIN码来保护,换而言之智能手机与智能设备之间常用的蓝牙通讯密码只有100万种组合,完全抵挡不住附近黑客的暴力破解。
intercepted-message-智能手表暴力破解PIN码
暴力破解蓝牙PIN码后截获的短信信息
近日Bitdefener的安全专家对三星Gear Live智能手表和Google Nexus4安卓手机(运行Android L)的组合实施了概念验证攻击。仅仅使用常见的黑客工具就轻易完成了对PIN码的暴力破解,实时监控智能手表与智能手机之间的通讯(上图)。
由于2015年将很可能是智能手表等可穿戴设备市场爆发的一年,目前全球信息安全界正在热烈探讨可能的补救措施。安全专家指出,由于输入不便,用户在智能手表与智能手机配对时很难接受输入密码的方式。一种可能的解决方案是:配对时通过NFC向智能手表发送PIN码,但这样可能会提高成本同时增加设备的复杂性。第三种方案是在蓝牙加密技术之上再增加一个加密层,通过手机和智能手表中的APP部署。