江蘇
關(guān)鍵詞
數(shù)據(jù)泄露
2025 年上半年,網(wǎng)絡(luò)安全研究員 Sergei Volokitin 在近期公開了一項(xiàng)關(guān)于小米 S3 智能手表的安全研究,揭示該設(shè)備存在硬件層級的漏洞,攻擊者可通過分析觸控點(diǎn)的物理反饋,推算出用戶設(shè)定的 PIN 解鎖坐標(biāo)。這一研究最初是在去年 11 月于“Hard Pwn”安全研究活動中完成,但直到近日才正式對外披露詳細(xì)技術(shù)細(xì)節(jié),引發(fā)廣泛關(guān)注。
從觸控到 PIN:破解智能手表的非傳統(tǒng)路徑
Volokitin 利用高級硬件分析設(shè)備,在不破壞系統(tǒng)完整性的前提下分析了 S3 手表的解鎖機(jī)制。他指出,手表表面觸控反饋雖然對用戶不可見,但從物理響應(yīng)層面具有一定的規(guī)律性,攻擊者可以通過坐標(biāo)熱區(qū)的變化,逐步推斷出可能的 PIN 密碼位置,進(jìn)而實(shí)現(xiàn)解鎖。
不僅是手表,小米攝像頭也被發(fā)現(xiàn)存儲安全隱患
在同一次研究中,Volokitin 還發(fā)現(xiàn)小米某款戶外攝像頭將錄像以明文格式保存在文件系統(tǒng)中,且用于云通信的訪問令牌也未加密保護(hù)。這種設(shè)計意味著攻擊者若獲得設(shè)備本地訪問權(quán)限,幾乎可以毫無阻礙地讀取視頻、偽造連接請求,甚至進(jìn)行遠(yuǎn)程操作模擬。
可穿戴設(shè)備:安全防線正面臨新挑戰(zhàn)
隨著手表、耳機(jī)、健身手環(huán)等智能設(shè)備越來越多地參與支付、解鎖和身份認(rèn)證等高安全級別場景,它們的物理安全性正在成為黑客的新焦點(diǎn)。S3 手表的漏洞表明,即使廠商在軟件層面進(jìn)行了加固,如果硬件處理層存在可利用的行為特征,攻擊者仍有可乘之機(jī)。
安全協(xié)作機(jī)制漸成主流
值得一提的是,這些漏洞并非通過“黑客大會爆料”的方式被披露,而是在 Hard Pwn 提供的“廠商-研究員協(xié)作平臺”中完成的。小米方面已收到漏洞報告并對問題進(jìn)行了確認(rèn),表明他們也在積極參與硬件產(chǎn)品的長期安全改進(jìn)。
總結(jié)
隨著時間進(jìn)入 2025 年,可穿戴設(shè)備的硬件安全問題已不容忽視。此次對 Xiaomi S3 智能手表的破解研究提醒我們:設(shè)備表面看似無懈可擊,但在深層交互與物理行為中,仍可能泄露關(guān)鍵信息。這也意味著,未來廠商必須在設(shè)計階段就引入更多防護(hù)機(jī)制,以抵御更復(fù)雜的攻擊手段。
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時資訊一手掌握!
好看你就分享 有用就點(diǎn)個贊
支持「安全圈」就點(diǎn)個三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
