摘要
惡意程序可以自由訪問(wèn)智能手機(jī)上的傳感器數(shù)據(jù)���,收集傳感器產(chǎn)生的高度敏感的信息�,并利用這些信息猜測(cè)用戶(hù)的手機(jī) PIN 碼��。
近日���,新加坡南洋理工大學(xué)(NTU)的研究人員在本月發(fā)表了一個(gè)研究結(jié)論����。惡意程序可以自由訪問(wèn)智能手機(jī)上的傳感器數(shù)據(jù)���,收集傳感器產(chǎn)生的高度敏感的信息����,并利用這些信息猜測(cè)用戶(hù)的手機(jī) PIN 碼。
這項(xiàng)研究背后的三個(gè)科學(xué)家只是最近的一批研究人員��,此前有其他人做過(guò)其他的研究�����,這次的研究者們注意到在 Android 和 iOS 等現(xiàn)代移動(dòng)操作系統(tǒng)的設(shè)計(jì)中出現(xiàn)了明顯的安全漏洞���。研究人員表示���,這些操作系統(tǒng)不需要應(yīng)用程序在訪問(wèn)傳感器數(shù)據(jù)之前向用戶(hù)請(qǐng)求權(quán)限。
傳感器為每個(gè)按鍵提供了獨(dú)特的數(shù)據(jù)指紋
為了證明他們的觀點(diǎn)���,研究人員創(chuàng)建了一個(gè) App, 安裝在了安卓測(cè)試機(jī)上����,該應(yīng)用程序能靜默收集來(lái)自六種傳感器中的數(shù)據(jù)��,它們分別是:加速計(jì)�����、陀螺儀、磁力計(jì)�����、近距離傳感器(使用紅外線進(jìn)行近距離測(cè)距的傳感器)和環(huán)境光傳感器��。
當(dāng)用戶(hù)用手指在觸摸屏上輸入 PIN 碼并解鎖手機(jī)時(shí)��,研究人員能人工智能算法分析傳感器數(shù)據(jù)�,包括手機(jī)的傾斜狀態(tài)(空間和角度相關(guān)坐標(biāo))、附近的環(huán)境光����,來(lái)區(qū)分不同按鍵上的按壓,從而推斷出 PIN 碼�。
在他們的實(shí)驗(yàn)中,研究小組僅使用了三個(gè)人提供的 500 個(gè)隨機(jī)輸入 PIN 碼操作的傳感器數(shù)據(jù)����,這意味著當(dāng)數(shù)據(jù)更多時(shí)算法會(huì)更準(zhǔn)確。
研究團(tuán)隊(duì)表示�����,根據(jù)他們掌握的樣本,使用 50 個(gè)最常見(jiàn)的 PIN 碼時(shí)���,算法已能夠以 99.5% 的準(zhǔn)確率在第一次嘗試時(shí)就猜中 PIN���。之前的研究同樣使用 50 個(gè)最常見(jiàn)的 PIN 碼,但是準(zhǔn)確率僅為 74%���。
當(dāng)研究團(tuán)隊(duì)試圖在 20 次嘗試范圍內(nèi)���,猜中全部 10000 個(gè)可能的四位 PIN 碼組合時(shí)�����,成功率由 99.5% 下降到 83.7%���。研究人員表示�,采用這種技術(shù)可以很容易地破解更長(zhǎng)的 PIN 碼。
以往研究證明問(wèn)題很?chē)?yán)重
南洋理工大學(xué)的研究團(tuán)隊(duì)強(qiáng)調(diào)��,真正的問(wèn)題在于應(yīng)用程序不需要事先詢(xún)問(wèn)用戶(hù)是否同意����,便能直接訪問(wèn)傳感器的數(shù)據(jù)���。Android 和 IOS 都會(huì)受到這個(gè)問(wèn)題的影響。這個(gè)設(shè)計(jì)缺陷可能會(huì)被武器化�,并被用來(lái)竊取更多的密碼。
在他們發(fā)布論文之前�,有些研究就已經(jīng)在進(jìn)行了。
例如在今年九月����,普林斯頓大學(xué)的研究人員悄悄從手機(jī)傳感器收集數(shù)據(jù),成功推斷出用戶(hù)的地理位置���,而無(wú)需用戶(hù)的 GPS 數(shù)據(jù)����。
而在今年 4 月����,英國(guó)紐卡斯?fàn)柎髮W(xué)的科學(xué)家創(chuàng)建了一個(gè) JavaScript 文件,這個(gè)文件可以被嵌入到網(wǎng)頁(yè)或惡意應(yīng)用程序中�,可以靜靜地記錄手機(jī)傳感器數(shù)據(jù),使攻擊者能夠推斷出用戶(hù)在其設(shè)備上輸入的內(nèi)容��。
研究人員希望這個(gè)問(wèn)題能在系統(tǒng)層面解決���,而不是在應(yīng)用層面��。隨著這方面的研究越來(lái)越多���,蘋(píng)果和谷歌應(yīng)該對(duì)用戶(hù)傳感器進(jìn)行控制�,以便在用戶(hù)安裝的 App 訪問(wèn)傳感器數(shù)據(jù)時(shí)進(jìn)行更安全的限制�����。
微信掃一掃
