智能手表手环会不会泄露隐私？

原标题：智能手表手环会不会泄露隐私？

近年来，智能手环、智能手表兴盛。这些可穿戴智能设备，从功能和价位来看，大概可以分为三个层级：没有任何按键主要用作计步工具的手环；带有屏幕能及时转发来自手机信息提醒的手环；更高级的可安装应用软件的Apple Watch和各种品牌的AndroidWear手表。

这些风格多样的可穿戴智能设备，在督促我们更加关注自身健康的同时，会不会泄露我们的隐私呢？来看我们的实验吧！

>>实验时间：9月20日

>>实验地点：华商报社

>>实验人员：华商报记者

>>实验设备：

热心市民马波、马翔、常荣莉提供的小米手环、三星Gear Fit手环、Apple Watch各一个，苹果手机一部、安卓手机一部、iPad一部

>>实验顾问：

西安电子科技大学网络与信息安全学院副教授、教育部信息安全团队骨干成员杨超

新闻背景

>>实验证明

通过手环能分析出人在干啥

国内某电视媒体近日报道了一场实验，他们请一位技术人员戴着手环在房间内活动，另一位技术人员在另一房间内破解手环。破解人员面前的显示屏上，手环被显示为一个白点。通过对白点变化幅度和位置的分析，破解人员可以准确推测出另一房间内的佩戴手环者究竟是在敲击键盘，还是在晃动手臂。

专家表示，大量的蓝牙智能设备和手机之间的传输并不安全，可能会被攻击者拦截并解码用户数据。如果小偷获取了包括手环主人的日常作息习惯在内的信息，后果可想而知。

>>研究人员称

可用程序判断你用键盘写了啥

据法新社报道，美国伊利诺伊大学的研究人员在一份研究报告中说，他们可以用智能手表的运动传感器来获知使用者正在从键盘上输入的内容。

研究人员发明了一种应用程序，可以在佩戴者打字时追踪敲击键盘的动作。比如，左手腕在敲击字母T时比敲击字母F时的伸展动作要大一些。通过分析这些运动，研究人员基本就能确定使用者打出了哪些单词。

专家称，虽然接触人体的设备可以提供有关人体健康和环境的宝贵数据，但它们也为更深层地侵犯隐私行为敞开了大门。

考虑到智能手环（手表）在使用中需要连接手机的特点，实验着重从设备与手机连接、APP权限检查、信息安全保护三个方面进行。

马上实验

实验1

与手机连接 小米手环离开手机10米就能被其他手机连上

实验对小米手环、三星Gear Fit手环 、Apple Watch与手机的连接进行测试。

在进行小米手环的蓝牙连接时，华商报记者发现，一旦小米手环离开原来绑定的手机10米左右，就可以与另一部手机通过蓝牙重新进行配对连接和APP绑定。而可用于连接的手机，安卓系统和IOS系统的都可以。

只要蓝牙连接上，APP绑定过程只要求敲几下小米手环就可以确定。

由于APP使用需要登录小米账号，而在实验中iPhone上和安卓手机用的是同一个账号，会不会是这个原因导致可以连接上？

华商报记者随后又用一部iPad下载“小米运动”并注册了另一个小米账号。再次做相同的实验，发现尽管账号不同，只要建立了蓝牙连接，依然可以用不同小米账号的iPad与这部小米手环绑定。在绑定新账号后，华商报记者发现记录会自动从零开始。

三星Gear Fit手环也需要先与手机进行蓝牙配对，并用下载的专用APP进行绑定后才能使用。不过这个手环上有一块屏幕，绑定时需要从两个设备上都要进行确定。绑定过程中，手机上和手环屏幕上都会出现一对配对密钥，提醒秘钥相同再进行配对。而配对的时候还会再次生成一串秘钥，再次从两个设备上确定。而如果不是三星品牌的手机，连上手环后想要看健康数据则是点不开的。手环的主人介绍，监测数据信息还可以设定密码，如果别人要看不知道密码是不能打开的。

Apple Watch，则需要打开手机上专用的Watch应用进行扫描配对，并进行Apple ID验证后才能连接上，程序更加复杂，但连接的安全性自然更高。

>>实验总结

杨超老师：虽然配对连接需要敲几下手环，但出现震动提醒时一般人不太注意，很可能随手敲两下，刚好被系统误以为确定信号，从而将手环连接在别人的手机上。实验发现的情况说明，很有可能会出现这样的情境，手环虽然戴在原主人手腕上，而手环监测的运动或健康数据却被附近的人通过手机窃取。遭窃取的健康数据可能被别人恶意利用，比如欲伺机偷窃的蟊贼就可能会利用这样的空子。

此外，低功耗蓝牙技术不同于常规蓝牙之处在于它不需要密码，不少智能手环根本没有能输入密码的屏幕和按键。这就是个可能被利用的漏洞，黑客甚至可以连接到已和手机同步的手环上。而随着健身追踪器的新传感器和新软件的问世，还可能被黑客利用。

实验2

APP权限检查 连按键都没有的手环APP也要求拍照片权限

杨超老师介绍，手机中安装的应用程序的权限，有的会直接涉及个人隐私。小米手环和三星Gear Fit手环都可以在安卓系统中运行，所以查看其权限就可以了解到该应用程序可能会涉及的个人隐私信息。

华商报记者查看了安卓手机中安装的“小米手环”和“Gear Fit Man-ager”的应用权限。结果发现，尽管小米手环连按键都没有，但应用信息中“权限”列表中，除了查看WLAN连接和访问蓝牙设置外，赫然还有：直接拨打电话号码、拍摄照片和视频、大致位置和精确位置、控制闪光灯、发送持久广播等内容。小米网站上的信息显示，小米手环并没有控制拍照的功能。

“Gear Fit Manag-er”应用的权限要求比“小米运动”更多，除了拨打电话、拍摄照片和视频、精确位置外，还有读取通讯录、编辑读取文字信息、读取日历活动和机密信息、查找设备上账户等权限。

从该手环屏幕呈现的功能来看，除了计步器、锻炼、心率、睡眠等项目的监测外，还可以实现“查找我的设备”，“通知”可以转发来自手机的未接电话、未查看短信。这些来自手机的信息被直接转到了这块小小的屏幕上。但并不具备控制手机拍摄照片和视频等功能。

>>实验总结

杨超老师：应用软件过多的权限要求，破坏了网络安全方面“最小权限”原则，开发者可能是为了将来要开发的功能考虑，但手环若被人控制，因为这个原因可能导致手机里的其他数据遭到破坏。比如控制手机在机主不知情的情况下拍照，获取通讯录里的联系人信息、支付信息等。实验一只是可能窃取可穿戴设备里储存的信息，而实验二所发现情况的后果可能是窃取手机里面的信息，后果更严重。

实验3

设备信息保护 未设密码的带屏幕设备隐私信息可随便看

带有显示屏的智能手环和智能手表上会储存很多隐私信息，一旦丢失后被人偷窥也会泄露很多隐私信息。在拿到三星Gear Fit手环和Apple Watch时，华商报记者发现，尽管设备的主人都表示这些设备里没什么，但打开设备后，通讯录、短信、未接电话、未查看短信等敏感信息还是可以看到。Apple Watch还可以设置密码，但三星Gear Fit手环屏幕并未设密码。手环的主人说，他也不知道如何设密码。

有媒体报道称Ap-ple Watch存在的一项重大安全漏洞，错误地输入密码六次，这个手表就会被锁定。通过一系统操作可以重置Apple Watch。

真是这样吗？华商报记者进行了实验验证。故意输入错误密码7次以后，设备出现文字提示让等1分钟再尝试；1分钟后再次输错一次密码，又让等5分钟；5分钟后再次故意输错后让等15分钟；15分钟后再次故意输错又让等60分钟；60分钟后再次故意输错则会弹出提示：“密码错误”，并提醒“请在iPhone打开 Apple Watch应用，前往Pass-code，轻按‘重启密码’再试。”看来，并非如上面报道所说的那样，轻易就可以让小偷将Apple Watch还原重置。

记者随后查看iPhone手机中的Watch应用发现，其中有“抹掉数据”的选项。启用此功能后，输错10次密码后，Apple Watch的所有数据将被清空。

另据苹果官网的推介文字，尚未推出的苹果手表新操作系统watchOS2包含了全新的安全功能，即激活锁。若要激活Ap-ple Watch，需要使用Apple ID和密码。如此一来，当Apple Watch丢失或被盗时，机主的信息仍可保持安全。

>>实验总结

杨超老师：相对来说，人们对于自己手机信息的安全保护意识比较强，而对智能穿戴式设备中存储的信息却容易忽视，其实由于这些设备和手机相连，而且储存有部分隐私传感数据，如果没有密码保护，泄密后也可能产生和手机中隐私泄露一样的后果。

一旦隐私信息泄露，有可能被人利用来对个人行为习惯、性格特征、健康状况等更产生进一步的推断，轻则用于广告投放，严重的甚至被用来进行非法活动。提醒大家，可穿戴设备，能设密码的一定要设密码。 华商报记者 马虎振 文/图