@ 2017.04.15 , 13:00

跟踪手机运动破解密码

黑客们能根据我们输入信息时倾斜手机的方式破解PIN码或者密码。

英国纽卡斯尔大学的网络专家揭露了恶意网站以及安装的应用能仅仅利用手机中运动传感器的信息,轻易地实现对我们的暗中观察。

[-]

通过分析我们输入信息时手机的运动状况,他们证实有可能只根据手机的内部传感器数据破解4位PIN码,一次猜测的准确度达70%,五次猜测即为100%。

研究者表示人们现在对此风险还一无所知,大部分人对手机上的25个不同传感器的功能所知甚少。

虽然产业界的大部分人都意识到了这个问题,但没人能找到解决方法。

[-]

研究团队将该成果发表在了4月10的国际信息安全杂志上,他们正研究个人健康跟踪设备带来的额外风险。个人健康设备与我们的在线资料有关,可跟踪手腕最轻微的运动以及一般的身体活动,比如行走坐跑以及其他形式的通勤。

论文主要作者、计算机科学学院研究院Maryam Mehrnezhad博士解释道:“大部分智能手机、平板以及其他可穿戴设备都装备了大量传感器,从广为人知的GPS,相机和麦克风到陀螺仪,距离传感器,NFC,旋转传感器以及加速度计等设备。但由于移动应用和网站无需请求权限即可使用大部分传感器,恶意程序就能秘密地监听你的传感器数据,并利用该数据发现你的各种敏感信息,比如通话时间,身体活动以及甚至是你的触摸行为,PIN码和密码等。更令人担忧的是,在某些浏览器上,我们发现如果你在手机或者平板上打开有恶意代码的网页之后,没有关闭就打开其他网页,比如你的网上银行账户,他们就能监控你输入的所有个人信息。更糟糕的是,在某些情况下,除非你完全关闭,他们甚至能在你手机锁屏之后还能监控你。姑且不管真正的风险,当我们询问人们他们最在意什么传感器时,我们发现在感知到的风险和常人的理解能力之间有直接的关系。也就是相比于沉默的传感器,人们更关注相机和GPS。”

不经请求的访问

智能设备中有各种传感器,引起了移动游戏和健康应用的兴起,并将不久之后组成物联网。

传感器提供的数据与移动设备增长的计算能力相结合,改变了我们的使用方式。

研究团队总共鉴定了25中不同的传感器,这些在目前的大多数智能设备中都很常见,然而其中只有一小部分,比如相机和GPS,才会请求使用者的允许。

该研究发现用户的每个触摸动作——点击,滚动,按住,轻敲都会产生独特的运动和方向轨迹。所以在一个已有的网页上,研究团队能决定用户正在点击哪一部分以及正在输入什么。

研究的共同作者、计算机科学学院的高级研究助理Siamak Shahandashti解释道:“这有点像拼图,收集到的碎片越多就越容易得到图片的全景。根据我们打字的方式——单手拿手机用大拇指打字,或者是用另一只手打字,又或者是触摸或者滑动的方式,设备将会以一种特定的方式倾斜,很容易就能将倾斜的模式与我们日常使用的‘触摸签名’联系起来。内部的传感器每个提供了不同部分的拼图。你戴在手上的个人健康跟踪器从本质上来说是设计来跟踪你的手部的运动,并将信息传递到你的在线资料,是一种全新的威胁。它们还可能潜在地提供额外的信息,当将其与传感器信息结合时,就能很容易解密出个人信息。”

所以我们能保护自己吗?

研究团队已经警告了所有主流浏览器开发商这个风险,包括谷歌和苹果,但Mehrnezhad博士说,没有人能提供一个答案。

她说:“这是易用性与安全性之间的博弈。我们都在呼吁新手机要有新的特性,要改善用户体验,但在整个行业由于没有管理传感器的统一方式,对我们的个人安全是极大的威胁。一个方法是不使用任何浏览器,但我们又不想失去内建的运动传感器带来的好处。”

由于该研究的争取,某些移动浏览器供应商已经部分修复了这个问题,比如Mozilla,火狐和苹果Safari,但要最终解决这个问题,团队仍然在与整个行业进行努力。

Mehrnezhad博士与她的同事Ehsan Toreini开设了网络安全:家庭,在线,生活中的安全课程,是纽卡斯尔大学大型公开网络课程MOOCs系列的一部分。该课程提到人们可参照以下几条简单地准则:

定期更换PIN码和密码,这样恶意网站就来不及识别;

不用的时候关闭后台应用,当你再也不需要的时候就卸载掉;

保证手机操作系统和应用都是最新的;

只从正规应用商店安装应用;

审查手机上应用的权限;

安装手机应用之前详细审查要求的权限,选择权限需求更合理的应用。

本文译自 phys,由 CliffBao 编辑发布。

赞一个 (9)