知識星球近日,新加坡南洋理工大學(NTU)的研究人員在本月發表了一個研究結論。惡意程式可以自由訪問智慧手機上的感測器資料,收集感測器產生的高度敏感的資訊,並利用這些資訊猜測使用者的手機 PIN 碼。這項研究背後的三個科學家只是最近的一批研究人員,此前有其他人做過其他的研究,這次的研究者們註意到在 Android 和 iOS 等現代移動作業系統的設計中出現了明顯的安全漏洞。
研究人員表示,這些作業系統不需要應用程式在訪問感測器資料之前向用戶請求許可權。
感測器為每個按鍵提供了獨特的資料指紋
為了證明他們的觀點,研究人員建立了一個 App, 安裝在了安卓測試機上,該應用程式能靜默收集來自六種感測器中的資料,它們分別是:加速計、陀螺儀、磁力計、近距離感測器(使用紅外線進行近距離測距的感測器)和環境光感測器。
當使用者用手指在觸控式螢幕上輸入 PIN 碼並解鎖手機時,研究人員能人工智慧演演算法分析感測器資料,包括手機的傾斜狀態(空間和角度相關坐標)、附近的環境光,來區分不同按鍵上的按壓,從而推斷出 PIN 碼。
圖 / App 的程式佈局(來自研究團隊論文 There Goes Your PIN: Exploiting Smartphone Sensor Fusion Under Single and Cross User Setting )
在他們的實驗中,研究小組僅使用了三個人提供的 500 個隨機輸入 PIN 碼操作的感測器資料,這意味著當資料更多時演演算法會更準確。
研究團隊表示,根據他們掌握的樣本,使用 50 個最常見的 PIN 碼時,演演算法已能夠以 99.5% 的準確率在第一次嘗試時就猜中 PIN。之前的研究同樣使用 50 個最常見的 PIN 碼,但是準確率僅為 74%。
當研究團隊試圖在 20 次嘗試範圍內,猜中全部 10000 個可能的四位 PIN 碼組合時,成功率由 99.5% 下降到 83.7%。研究人員表示,採用這種技術可以很容易地破解更長的 PIN 碼。
以往研究證明問題很嚴重
南洋理工大學的研究團隊強調,真正的問題在於應用程式不需要事先詢問使用者是否同意,便能直接訪問感測器的資料。Android 和 IOS 都會受到這個問題的影響。這個設計缺陷可能會被武器化,並被用來竊取更多的密碼。
在他們釋出論文之前,有些研究就已經在進行了。
例如在今年九月,普林斯頓大學的研究人員悄悄從手機感測器收集資料,成功推斷出使用者的地理位置,而無需使用者的 GPS 資料。
而在今年 4 月,英國紐卡斯爾大學的科學家建立了一個 JavaScript 檔案,這個檔案可以被嵌入到網頁或惡意應用程式中,可以靜靜地記錄手機感測器資料,使攻擊者能夠推斷出使用者在其裝置上輸入的內容。
研究人員希望這個問題能在系統層面解決,而不是在應用層面。隨著這方面的研究越來越多,蘋果和谷歌應該對使用者感測器進行控制,以便在使用者安裝的 App 訪問感測器資料時進行更安全的限制。
來源:GeekPark極客公園
更多資訊
◈ 警方揭秘iPhone盜改銷產業鏈:不解鎖只能賣幾百
http://t.cn/RHN62Ed
◈ 在大規模抗議後伊朗切斷網際網路訪問
http://t.cn/RHNKxQv
◈ 安天:30多個 App 涉嫌傳銷詐騙 上百萬人受影響
http://t.cn/RHNKiw1
◈ 家譜網站Ancestry遭遇資料洩露:30萬名使用者受影響
http://t.cn/RHNKX4G
(資訊來源於網路,安華金和蒐集整理)
