手機感測器可能洩露你的密碼

作者 | 發布日期 2017 年 04 月 14 日 8:17 | 分類 手機 , 資訊安全 follow us in feedly

一位研究者最近公布了一種奇葩的破解手機 PIN 碼手法,據稱有 74% 的概率可以判斷出用戶輸入的 4 位數 PIN 碼──利用你的智慧手機裡的各種感測器。




據了解,這位來自英國新堡大學的研究人員製造了一種名叫「PINlogger.js」的程式腳本,它可以連上手機中各種感測器中的數據,包括 GPS 定位、鏡頭、麥克風、重力感應器、陀螺儀、磁力計、NFC 感應等,各類手機感測器通吃。

在攻擊展示中,用戶被引誘打開一個網頁。該網頁將自動執行這段程式腳本,透過網頁瀏覽器捕捉手機感測器的數據。這個腳本的厲害之處在於,它不需要用戶授權網站或瀏覽器程式採集相關數據,也就是說在不知不覺的情況下,用戶的資料就已經被全部偷走。

研究人員在報告中寫道:

當用戶透過 iframe 的形式(一種網頁標籤形式)掛載了網頁內容,攻擊代碼就已經開始監聽用戶透過手機感測器輸入的數據。

據了解,在上週公布的報告中,研究人員表示,利用手機瀏覽器內的 JavaScript(腳本)攻擊,完全可以對使用者造成安全威脅。不同於那些依賴手機應用程式的攻擊方式,這種攻擊方式不需要受害者安裝任何程式,也不需要用戶授權。

在展示中,研究人員透過上述方式,首次嘗試就有 74% 的概率能獲取,如果用戶反覆輸入,盜取密碼的成功率,將在後兩次嘗試中上升到 86% 和 94%。研究人員說,這個概率取決於我們拿手機輸入密碼的方式:

  • 有可能單手拿著,拇指輸入
  • 有可能一隻手拿著,另一隻手輸入
  • 可能雙手一起輸入

不過無論使用哪種方式,無論是滑動輸入還是點擊輸入,都可以記錄下用戶的觸碰螢幕的數據。

研究人員指出,大部分人只關心一些比較敏感的感測器安全,比如鏡頭、GPS,其實一些不太明顯的感測器也可能成為一種威脅。如果用戶打開了帶有這種惡意腳本的網頁沒有關閉,然後在手機上輸入了網銀的帳號密碼,那麼就有可能導致網銀被盜。

研究人員在公布成果之前,已經和各大瀏覽器廠商取得了聯繫,提醒防範可能存在的攻擊方式。

事實上,在此之前瀏覽器廠商也注意到了手機感測器可能帶來的安全隱憂。火狐瀏覽器已經在 2016 年 4 月發布的版本更新中,就對瀏覽器中 JavaScript 腳本訪問運動和方向感測器進行了限制。蘋果也早在 iOS 9.3 發布時就對定位、螺旋儀等感測數據進行了限制。但目前 Google 方面還未發表任何說明,表明已經對該問題採取了相關措施。

最後在該安全報告中,研究人員建議用戶在不使用應用程式或瀏覽器的時候,盡量關閉它們,以防萬一。

(本文由 雷鋒網 授權轉載;首圖來源:Flickr/Ervins Strauhmanis CC BY 2.0)