传HackPwn白帽发现小米手环漏洞 可以控制手环权限

雷锋网8月14日消息，近几日有部分媒体报道了一名白帽子黑客向HackPwn组委会提交了一个小米手环漏洞，组委会表示通过该漏洞，可以获得小米手环控制权限。

组委会工作人员向记者展示了破解小米手环的全过程，破解后，小米手环突然不停震动，工作人员在自己的手机上读出了记者手环的步数，数据与记者手机一模一样。

——中国经济网的报道

更详细的信息是，这个漏洞来自手环的蓝牙接口单元，但目前还不能判定这个漏洞是来自小米手环还是来自蓝牙协议(也就是其他手环可能存在类似问题)。

小米手环发布于去年7月，到今年5月官方公布的数据是销量破500万，单月销量过100万。不过目前，小米手环的功能主要仍在运动、睡眠数据的记录，以及配合MIUI解锁小米手机。

4月份，小米手环公布了与支付宝的合作计划：合作之后，当用户的小米手环和手机支付宝客户端完成绑定后，一旦手环靠近手机，可以免去输入支付密码的操作，戴上手环直接完成付款。

目前业内人士更多的担心是，这一漏洞是否会影响到此后小米手环的支付安全。为此，雷锋网也联系了小米手环官方以及HackPwn组委会。

小米手环的出品方华米的相关负责人表示：HackPwn方面暂未公布漏洞的详细信息，他们正在联系明确。而关于支付安全问题，手环和支付宝的免密支付认证中做了安全的数据加密和安全验证，这些加密验证过程非常安全。

而截止发稿，雷锋网记者还在等待HackPwn方面的详情。21日HackPwn将在北京举办线下的专场，届时也会有更多智能硬件相关的漏洞信息曝光，请关注雷锋网的持续报道。