在蘋果Apple Watch、Google Android Wear帶動下,全球智慧手錶市場快速發展。賽門鐵克研究發現,已在手機平台上散播的勒贖軟體很容易就能夠連帶感染穿戴裝置,透過手機綁架智慧手錶,使智慧手錶面臨的攻擊風險增加。
過去勒贖軟體以感染電腦為主,鎖定或是加密使用者的電腦,再偽裝執法單位要求繳交「罰金」,或自動加密電腦內的檔案直接向使用者勒贖,但隨著智慧型手機蓬勃發展,手機應用程式快速增長,勒贖軟體也從電腦擴大至智慧型手機,與手機配對使用的智慧穿戴裝置例如智慧手錶也將面臨勒贖軟體威脅。
以Android Wear智慧手錶為例,現有的Android應用支援Android Wear,當手機安裝應用後,該應用就會自動推送到智慧手錶上,而勒贖軟體也可輕易透過這樣的配對直接透過手機感染智慧手錶。
賽門鐵克實際以Moto 360智慧手錶測試勒贖軟體如何綁架消費者手腕上的穿戴裝置。先將勒贖軟體Android Simplocker的.apk檔重新包裝支援Android Wear,建立新的apk檔,讓手錶與手機完成配對後,當手機感染Android Simplocker時,勒贖軟體就會被推送到手錶,使用者不慎安裝就會感染手錶。
由於Simplocker每秒會檢查勒贖訊息,如果沒有顯示就會再次推送到手錶上,妨害手錶的正常使用,並且可對手錶的記憶卡儲存檔案進行加密,綁架智慧手錶達到勒贖的目的。一旦被感染,使用者需設法卸載手機中的勒贖軟體,如果無法卸載只能重置裝置,但這樣將會遺失手機、手錶上的個人資料。
不論鎖定或加密裝置內的資料,贖勒軟體最終目的是向使用者勒贖金錢,勒贖金額約200到300美元(新台幣約9000元),使用者即便屈服於威脅而支付金錢,不一定就會解除裝置鎖定或解密資料。
為防範穿戴裝置被綁架勒贖,賽門鐵克建議,從手機應用軟體安裝時就要注意,例如安裝應用程式前檢視軟體要求的授權,確認應用軟體類型及要求存取授權項目是否合理,手機遊戲是否有必要存取手機聯絡人清單或是傳送簡訊。隨時更新軟體版本,備份重要的資料,還有在行動裝置上使用安全防護軟體。