健身手环被曝漏洞 黑客可通过手机窃取个人信息

马刀

“跑步”开始成为流行健身运动，不少网民的朋友圈都被晒跑步数刷屏，可穿戴设备越来越流行，但是数据泄漏的风险也不小。近日，有白帽子黑客向2015HackPWN安全极客狂欢节组委会交了一个小米手环的漏洞，黑客完全能接管小米手环控制权。

　　据悉，HackPWN安全极客狂欢节是针对当下最流行的智能硬件进行破解和漏洞研究的活动，将于本月21日举办。

　　组委会工作人员向记者展示了破解小米手环的全过程，破解后，记者的小米手环突然不停震动，工作人员在自己的手机上读出了记者手环的步数，数据与记者手机一模一样。

　　工作人员解释，一般来说，手环和用户数手机对应对比较复杂，需要身份验证。但是手环的蓝牙接口单元有一个不易发觉的漏洞，白帽子黑客通过漏洞绕过记者的手机，直接“接管”了记者的手环，只要手机装有蓝牙，不经配对校验就可以与小米手环连接，进而实现对小米手环的控制，比如清零手环的步数、控制手环震动、指示灯闪烁、消耗电能等。

　　记者了解，小米手环是由小米科技旗下的华米科技公司生产的可穿戴设备，具备记步、睡眠记录、解锁手机、来电提醒和振动闹钟等功能，后期还与支付宝合作推出了免密码支付的功能。根据小米公布的官方数据，截至今年6月23日，小米手环的出货量已突破600万。

　　安全专家张伟称，小米手环是一个用户随身设备，如果被黑客随意读取、修改数据并随意控制，将有可能造成用户的信息泄漏，并可能针对用户进行持续的骚扰。