在一篇以「朋友還是敵人?從穿戴式裝置找到你的個人密碼」(Friend or Foe?: Your Wearable Devices Reveal Your Personal PIN)為題的文章中,研究人員表示,結合手腕上佩戴的可穿戴裝置(例如智慧手環、智慧手錶、健身追蹤器以及專有的電腦運算)內建感測器而來的資料,即可擷取動態模式,從而與一般鍵盤輸入墊的配置進行匹配。

如此,研究人員即可破解個人的PIN與密碼,第一次嘗試登入的準確度就達到了80%,而在第三次嘗試時的準確度更高達90%以上。

研究人員們描述了兩種攻擊的應用場景,包括內部攻擊與資料監聽,都依賴於存取未加密的感測器資料。針對內部攻擊,駭客透過惡意軟體,就能存取手腕上佩戴可穿戴式裝置的嵌入式感測器資料。

「惡意軟體讓攻擊者在遠端伺機而動,等到受害者存取基於密鑰的安全系統後,開始傳回感測器資料並加以匯整,以確定受害者的PIN,」Binghamton University電腦科學教授Yan Wang表示。

而在資料監聽場景中,攻擊者可能會在基於密鑰的安全系統旁設置一個無線監聽器,用於竊聽穿戴式裝置與智慧型手機中一般經由藍牙傳送的感測器資料。

20160722 PIN NT01P1 研究人員的實驗設置穿戴式裝置以及三種不同類型的鍵盤:可拆式ATM鍵盤、ATM機器上的按鍵,以及一般鍵盤

研究人員花費11個月的時間以20位配戴不同穿戴式裝置的成人為對象,針對三種基於密鑰的安全系統(包括ATM)進行了5,000次的密鑰輸入測試。無論穿戴者採取什麼手勢,研究團隊都能夠從穿戴式裝置內部的加速度計、陀螺儀與磁力計,記錄到手部細緻動作的毫米級資訊。

透過這些測得的資料,研究人員就能夠估算出連續幾次按鍵敲擊之間的距離與方向,他們開發出一種「後向PIN序列推算演算法」(Backward PIN-sequence Inference Algorithm),能以極高準確度破解密碼,而無需對照鍵盤的架構。

另一方面,這項研究也再次強調為穿戴式裝置內部資料加密以及確保IoT通訊安全的迫切需要,這同時也是最近最熱門的兩個話題。

編譯:Susan Hong

(參考原文:Wearables' motion analysis to give off PIN codes,by Julien Happich)