传HackPwn白帽发现小米手环漏洞 可以控制手环权限
雷锋网8月14日消息,近几日有部分媒体报道了一名白帽子黑客向HackPwn组委会提交了一个小米手环漏洞,组委会表示通过该漏洞,可以获得小米手环控制权限。
组委会工作人员向记者展示了破解小米手环的全过程,破解后,小米手环突然不停震动,工作人员在自己的手机上读出了记者手环的步数,数据与记者手机一模一样。
——中国经济网的报道
更详细的信息是,这个漏洞来自手环的蓝牙接口单元,但目前还不能判定这个漏洞是来自小米手环还是来自蓝牙协议(也就是其他手环可能存在类似问题)。
小米手环发布于去年7月,到今年5月官方公布的数据是销量破500万,单月销量过100万。不过目前,小米手环的功能主要仍在运动、睡眠数据的记录,以及配合MIUI解锁小米手机。
4月份,小米手环公布了与支付宝的合作计划:合作之后,当用户的小米手环和手机支付宝客户端完成绑定后,一旦手环靠近手机,可以免去输入支付密码的操作,戴上手环直接完成付款。
目前业内人士更多的担心是,这一漏洞是否会影响到此后小米手环的支付安全。为此,雷锋网也联系了小米手环官方以及HackPwn组委会。
小米手环的出品方华米的相关负责人表示:HackPwn方面暂未公布漏洞的详细信息,他们正在联系明确。而关于支付安全问题,手环和支付宝的免密支付认证中做了安全的数据加密和安全验证,这些加密验证过程非常安全。
而截止发稿,雷锋网记者还在等待HackPwn方面的详情。21日HackPwn将在北京举办线下的专场,届时也会有更多智能硬件相关的漏洞信息曝光,请关注雷锋网的持续报道。