不安全的可穿戴设备：卡巴斯基实验室研究人员发现健康手环存在安全问题

目前，各种类型的健身手环非常流行。这类可穿戴设备能够帮助人们管理自己的体力活动和卡路里摄入，让人们保持体形。但是，这类设备同样会处理很多关于用户的重要个人数据，所以保护这类设备安全非常重要。卡巴斯基实验室的安全研究专家Roman Unuchek检测了多种健康手环是如何同智能手机进行互动，并且发现了一些令人惊讶的结果。

根据他的研究结果，多种常见的智能手环使用的验证手段均允许第三方隐身连接到设备，执行命令，有些情况下还可以从设备中获取数据。卡巴斯基实验室安全专家调查的设备中，可被第三方获取的数据仅限于使用者在过去几个小时中走了多少步等数据。但是，未来当下一代健康手环上市后，将能够收集更多数据，这些关于使用者的敏感医疗数据一旦泄漏，可能造成严重风险。

非法连接之所以可以成功，是因为智能手环和智能手机所使用的配对方法。根据研究，在运行Android 4.3或更高版本的安卓设备上，安装一款特殊的未授权应用，就可以同特定厂商生产的智能手环进行配对。要建立连接，用户需要按下智能手环上的一个按钮，对配对进行确认。攻击者可以很容易解决这一难题，因为现在大多数健康手环都没有屏幕。当手环震动，提示用户对配对进行确认时，受害者无法知道其连接的是自己的设备还是他人的设备。

“这一概念性技术验证测试取决于很多条件，才能够成功进行攻击。而且最后，攻击者也无法收集到真正重要的数据，例如密码或信用卡号码等。但是，它却证实攻击者可以利用设备开发者留下的安全漏洞进行攻击。目前的健身追踪器功能相对较少，仅能够计算使用者所走的步数，跟踪用户的睡眠周期等。但是这类设备的第二代产品即将推出，最新设备将能够收集更多关于用户的信息。所以，思考这些设备的安全性非常重要，确保追踪器设备同智能手机之间的互动得到适当的安全保护，”卡巴斯基实验室高级恶意软件分析师Roman Unuchek说。

卡巴斯基实验室专家建议关注自身设备安全的智能手环用户检查所用设备的供应商，以确定自身使用的设备是否容易遭受潜在攻击。

要了解更多关于Roman Unuchek此次研究的结果，请浏览其在Securelist.com的文章。