“跑步”开始成为流行健身运动,可穿戴设备也越来越流行,但是数据泄漏的风险也不小。近日,有白帽子黑客向2015HackPWN安全极客狂欢节组委会交了一个小米手环的漏洞,黑客完全能接管小米手环控制权。HackPWN安全极客狂欢节是针对当下最流行的智能硬件进行破解和漏洞研究的活动,将于本月21日举办。组委会工作人员展示了破解小米手环的全过程,破解后的手环突然不停震动,工作人员在自己的手机上读出了该手环的步数。
一般来说,手环和用户数手机对应对比较复杂,需要身份验证。但是手环的蓝牙接口单元有一个不易发觉的漏洞,白帽子黑客通过漏洞绕过用户的手机,直接“接管”了手环,只要手机装有蓝牙,不经配对校验就可以与小米手环连接,进而实现对小米手环的控制。
小米手环是由小米科技旗下的华米科技公司生产的可穿戴设备,具备记步、睡眠记录、解锁手机、来电提醒和振动闹钟等功能,后期还与支付宝合作推出了免密码支付的功能。根据小米公布的官方数据,截至今年6月23日,小米手环的出货量已突破600万。安全专家称,小米手环是一个用户随身设备,如果被黑客随意读取、修改数据并随意控制,将有可能造成用户的信息泄漏,并可能针对用户进行持续的骚扰。