手機感應器可能洩露你的密碼

評論
評論

本文來自合作媒體 雷鋒網 ,INSIDE 授權轉載

一位研究者最近公佈了一種神奇的破解手機 PIN 碼手法,據稱有 74% 的機率可以判斷出使用者輸入的四位數 PIN 碼—— 利用你的智慧手機裡的各種感應器。

據瞭解,這位來自英國紐卡斯爾大學的研究人員製造了一種名叫「PINlogger.js」的程式腳本,它可以獲得手機中各種感應器中的數據,包括 GPS 定位 、鏡頭、麥克風、重力感應器、陀螺儀、磁力計、NFC 感應等等,各類手機感應器通吃。

在攻擊演示中,使用者被引誘打開一個網頁。該網頁將自動運行這段程式腳本,通過網頁瀏覽器捕捉手機感應器的數據。這個腳本的厲害之處在於,它不需要使用者授權網站或瀏覽器程式採集相關數據,也就是說在不知不覺的情況下,使用者的數據就已經被全部偷走。

研究人員在報告中寫道:

當使用者通過 iframe 的形式(一種網頁標籤形式)加載了網頁內容,攻擊代碼就已經開始監聽使用者通過手機感應器輸入的數據。

據瞭解,在上周公佈的報告中,研究人員表示,基於手機瀏覽器內的 JavaScript (腳本)攻擊完全可以對使用者造成安全威脅。不同於那些依賴手機應用程式的攻擊方式,這種攻擊方式不需要受害者安裝任何程式,也不需要使用者授權。

在示範中,研究人員通過上述方式,首次嘗試就有 74% 的機率能竊取,如果使用者反復輸入,成功率將在後兩次嘗試中上升到 86% 和 94%。研究人員說,這個機率取決於我們拿手機輸入密碼的方式:

  • 有可能單手拿著,拇指輸入
  • 有可能一隻手拿著,另一隻手輸入
  • 可能雙手一起輸入

不過無論使用哪種方式,無論是滑動輸入還是點擊輸入,都可以記錄下使用者的觸碰數據。

研究人員指出,大部分人只關心一些比較敏感的感應器安全,比如鏡頭、GPS,其實一些不太明顯的感應器也可能成為一種威脅。如果使用者打開了帶有這種惡意腳本的網頁沒有關閉,然後在手機上輸入了網銀帳號密碼,那麼就有可能導致網銀被盜。

據瞭解,研究人員在公佈成果之前,已經和各大瀏覽器廠商取得了聯繫,提醒防範可能存在的攻擊方式。

事實上,在此之前瀏覽器廠商也注意到了手機感應器可能帶來的安全隱患。火狐瀏覽器已經在 2016 四月發佈的版本更新中,就對瀏覽器中 JavaScript 腳本訪問運動和方向感應器進行了限制。蘋果也早在 iOS 9.3 發佈時就對定位、螺旋儀等傳感數據進行了限制。但目前 Google 方面還未發佈任何說明,表明已經對該問題採取了相關措施。

最後在該安全報告中,研究人員建議使用者在不使用應用程式或瀏覽器的時候,盡量關閉它們,以防萬一。

評論