英國科學家用陀螺儀數據,竟成功破譯了手機 PIN 碼

作者 | 發布日期 2017 年 05 月 03 日 13:58 | 分類 app , 手機 , 資訊安全 follow us in feedly

跟你想的不一樣,手機的解鎖 PIN 碼沒有那麼安全,科學家發現可以用陀螺儀的數據 ,精準猜出手機主人的 PIN 碼。



英國新堡大學(Newcastle University )的研究人員在《國際資訊安全雜誌》( International Journal of Information security)發表了論文,其中示範了手機的陀螺儀──追蹤手腕旋轉和方向的感測器,可以用來精準地猜出一組四位數的 PIN 碼。在一次測試中,該團隊以 70% 的準確率破解了密碼,連續測到第 5 次時,準確率高達 100%。

當然,要破解 PIN 碼,還是需要把大量數據餵給程式的類神經網路。英國衛報(The Guardian )指出,使用者必須先鍵入 50 個已知的 PIN 碼,然後研究人員的演算法才能夠辨識出來。該演算法的原理是使用者按螢幕某個區域上的數字按鈕時,會造成手機特定的微小晃動與角度變化。而要辨識出來,其實也不簡單,畢竟每個人的手勁、動作習慣都不同,因此要對程式好好「訓練」一番,才猜得出來使用者輸入了什麼。但是,這明確地突顯出惡意程式的危險性,因為要存取陀螺儀感測器數據,不需要取得手機使用者的許可。

論文的主作者 Maryam Mehrenzhad 博士,是新堡大學電腦科學學院研究員,他表示說:「大多數智慧型手機、平板電腦與其他穿戴裝置現在都配備大量的感測器,但由於 App 和網站不需要徵詢使用者的許可,就可以取用這些感測器的數據,惡意程式有可能隱藏其『監聽』感測器數據的企圖。」

該團隊確定了共 25 款不同的智慧手機,其感測器可能會因此洩露使用者操作手機時的感測器數據。更糟糕的是,只有少數感測器的使用行為(例如相機和 GPS),會在安裝 App 時徵詢使用者的許可。

這讓人感到非常毛骨悚然,單單使用「方向」和「動作追蹤」的數據,不只是 PIN 碼,滑動、點擊、不同的握持法(一隻手用拇指滑,或者一隻手拿手機,另一隻手滑螢幕)等,都會產生特定的感測資料(是的,你手腕的搖晃,會留下蛛絲馬跡),因此研究人員甚至可以監測到使用者在一個網頁上做了哪些操作?打了什麼字?要完整監控一個人使用手機的行為,不是難事。

該學院的高級研究員兼本研究成員 Siamak Shahandashti 博士表示:「這有點像拼圖,你放上越多缺片,就越容易洞見完整的圖片。」 而 Mehrenzhad 表示,該團隊已經向領先的瀏覽器開發團隊提醒這個問題,MozillaSafari 都已經做出了修正。但她表示,研究人員仍在與業界合作,尋找更好的解決方案。

Mehrenzhad 說:「我們對生產最新功能、擁有優秀使用者體驗的廠商提出呼籲,目前整個行業的感測器沒有統一的管理方式,這對大家的個人安全真的造成了威脅」。

要如何保護自己

試想這樣的情境:如果有不法份子做了這類惡意 App 常駐在手機後台 ,它誘發你輸入大量文字或特定操作(這樣的 App 可能做成聊天室形態),「協助訓練」它,直到它能「破譯」出你的大量操作行為,只要掌握到「你什麼時間打算去哪裡?怎麼去?身上是否有高價的東西?」壞人就可以在半路上攔截你,做出實體犯罪行為。

這是一個很真實的可能性,Mehrenzhad 博士建議以下這些保護自己的方法:

  • 經常更改 PIN 碼與密碼,讓惡意網站或程式難以辨識你的「手觸」習慣模式。
  • 關閉後台應用程式,當你不使用它們時,就移除。
  • 保持你手機的作業系統與應用程式是最新版。
  • 只從有信譽的 App 商店安裝程式。
  • 認真審核自己手機上應用程式的權限。
  • 安裝應用程式之前,請仔細檢查應用程式的權限,如果發現有敏感的感測器使用請求,應該適當變更。

Mehrenzhad 說:「這是可用性和安全性之間的戰鬥。」雖然有點不方便,但可以保障你的人身安全。筆者也分享一個小技巧,三不五時把自己的手機借給可信賴的朋友操作,也是一個方法,因為兩個人的觸控習慣不同,混淆進一堆不一樣的觸控習慣數據,這會增加壞人程式「破解」你操作行為的難度。

下一部 007 或其他諜報電影搞不好就會應用這樣的哏,抓到對手的情報員呢!所以自己的人身安全要延伸到手機、平板電腦等連網觸控裝置上,好的使用習慣,才能杜絕壞人窺視你的可能性。

(首圖來源:Flickr/Tony Alter CC BY 2.0)