黑客觀察手機傾斜角度就能猜出你的密碼，首次命中率高達74%！

現代設備充滿各種感測器裝置（即GPS、攝像頭、麥克風、加速度計、磁力計、、陀螺儀、計步器以及NFC等），黑客是如何利用這些裝置收集有關用戶的活動數據的呢？

根據英國紐卡斯爾大學的網路研究人員介紹，他們研究出了一種可以猜出用戶手機密碼的方法：通過分析用戶傾斜手機的方式，就可以輕鬆地竊取用戶四位數的PIN碼。

由於他們需要進行測試來證明這一理論，結果在首次嘗試中就能猜中四位數PIN碼的概率高達74%。你覺得進一步嘗試的話，結果會更好還是更糟呢？結果是嘗試5次的命中率達到了100%。

英國紐卡斯爾大學計算機科學院研究員Maryam Mehrnezhad博士解釋稱：

現在，大多數智能手機、平板電腦以及其他可穿戴設備都配備了大量的感測器裝置，從眾所周知的GPS系統、攝像頭和麥克風到陀螺儀、三星微定位proximity、近距離無線通訊技術NFC、旋轉感應器和加速計。但是，由於大部分移動應用程序和網站不需要獲取用戶許可就可以獲取隱私信息，惡意程序就可以秘密「竊聽」你的感測器數據，並使用這些數據來發現關於用戶的敏感信息，例如通話時間、身體活動情況、甚至是你的接觸操作，如PIN和各種密碼等。

更深層次的問題

一個更令人擔憂的細節是，在某些瀏覽器上，研究人員發現如果你在手機或平板電腦上打開一個託管惡意代碼的網頁，然後在沒有關閉上一個頁面的情況下打開你的網上銀行賬戶，那麼網路犯罪分子就可以窺探你輸入的所有個人詳細信息。

研究人員稱，

更糟糕的是，在某些情況下，除非你徹底關閉這些惡意網頁，否則在犯罪分子鎖定你手機的同時，就會窺探你所有的網路行為，竊取隱私信息。

該研究團隊發現，可以用來獲取用戶數據的內置感測裝置高達25種。研究人員在對此次攻擊進行概念證明（PoC）的過程中，開發了一個惡意腳本來從iOS設備中收集感測器數據。該腳本可以被嵌入到移動應用程序中或載入到受害者訪問的網站上，也就是說，攻擊者只需要誘導受害者訪問含有惡意腳本的網站就可以順利安裝惡意應用程序。

在這種情況下，無論用戶的任何一次操作（點擊、翻頁、輸入密碼）都會造成一種獨特的傾斜角度和運動軌跡，而研究人員只需要根據惡意腳本從感測器中訪問的數據，就可以分析出用戶使用的PIN碼或密碼等信息。

研究人員在第一次嘗試時能夠猜出四位數PIN碼的準確度為74%，第五次嘗試的精確度已經達到了100%。這些結果是根據50個設備的運動和方向感測器所收集和記錄的數據而獲得的。因為像地理位置信息、攝像頭和麥克風等都屬於敏感信息，需要用戶授權，而運動和方向感測器所收集的關於手機傾斜角度、手機屏幕大小等數據一般不被認為是敏感信息，所以不需要任何特殊的訪問許可權。

目前，研究人員已經將他們的發現報告給了谷歌、蘋果等領先的瀏覽器提供商，Mozilla和Safari也已經解決了部分問題。無論如何，研究人員正在與IT行業的相關企業合作，共同尋找一種正確的解決方案來減輕這種攻擊威脅。

本文翻譯自：Hackers can steal PINs and Passwords capturing data from smartphone sensors，如若轉載，請註明來源於嘶吼：t黑客觀察手機傾斜角度就能猜出你的密碼，首次命中率高達74%！ 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：