5 nhà nghiên cứu của các trường đại học Birmingham, Stevens Institute of Technology (New Jersey) vừa chứng minh rằng, ngay cả những cử động tay nhỏ nhất của người đeo thiết bị thông minh khi nhập mã PIN cũng có thể được ghi lại bởi mã độc trong đồng hồ thông minh. Những dữ liệu đó có thể được phân tích để tìm ra mã PIN của bạn. Việc theo dõi các cử động tiếp theo có thể giúp cho độ chính xác của việc đoán mã tăng lên hơn 90%.
Các nhà nghiên cứu cho biết họ đã thử nghiệm hơn 5000 lần nhập PIN ở ATM và các hệ thống khác. 20 đối tượng đã đeo các kiểu thiết bị khác nhau trong 11 tháng, với các kiểu cảm biến chuẩn dùng trong các thiết bị thông minh, cho phép đo chính xác đến từng mili-mét khi người dùng nhập PIN.
Các thiết bị đeo có thể bị lợi dụng để theo dõi cử động của tay người dùng, từ đó giúp lần ra mã bí mật để truy cập ATM, khóa cửa điện tử và các máy chủ của doanh nghiệp. Trường đại học Birmingham nói rằng, đây là kỹ thuật đầu tiên thuộc loại này không cần đến dữ liệu ngữ cảnh về các thiết bị dùng để nhập PIN.
Có hai kịch bản tấn công có thể áp dụng: thực hiện tại chỗ và nghe lén. Với kịch bản tại chỗ, tin tặc truy cập cảm biến nhúng trong thiết bị đeo nhờ mã độc lây nhiễm từ trước. Nếu cài được mã độc vào thiết bị đeo tay, tin tặc có thể đặt một máy nghe lén không dây gần thiết bị nhập PIN để đọc dữ liệu Bluetooth do thiết bị đeo gửi sang điện thoại thông minh của người dùng.
Các nhà nghiên cứu đề xuất tạo thêm các dữ liệu nhiễu để gây khó cho tin tặc, đồng thời vẫn đảm bảo hỗ trợ các chức năng theo dõi việc rèn luyện sức khỏe của người dùng. Họ cũng đề xuất việc mã hóa tốt hơn thông tin truyền nhận giữa thiết bị đeo và điện thoại thông minh.