毫无系统破坏痕迹,恶意程序通过传感器数据就猜到了你的手机密码

2018 年 1 月 2 日 极客公园 昵称比较好记

恶意程序可以自由访问智能手机上的传感器数据,收集传感器产生的高度敏感的信息,并利用这些信息猜测用户的手机 PIN 码。


近日,新加坡南洋理工大学(NTU)的研究人员在本月发表了一个研究结论。恶意程序可以自由访问智能手机上的传感器数据,收集传感器产生的高度敏感的信息,并利用这些信息猜测用户的手机 PIN 码。

这项研究背后的三个科学家只是最近的一批研究人员,此前有其他人做过其他的研究,这次的研究者们注意到在 Android 和 iOS 等现代移动操作系统的设计中出现了明显的安全漏洞。研究人员表示,这些操作系统不需要应用程序在访问传感器数据之前向用户请求权限。


传感器为每个按键提供了独特的数据指纹

为了证明他们的观点,研究人员创建了一个 App, 安装在了安卓测试机上,该应用程序能静默收集来自六种传感器中的数据,它们分别是:加速计、陀螺仪、磁力计、近距离传感器(使用红外线进行近距离测距的传感器)和环境光传感器。

当用户用手指在触摸屏上输入 PIN 码并解锁手机时,研究人员能人工智能算法分析传感器数据,包括手机的倾斜状态(空间和角度相关坐标)、附近的环境光,来区分不同按键上的按压,从而推断出 PIN 码。

图 | App 的程序布局(来自研究团队论文 There Goes Your PIN: Exploiting Smartphone Sensor Fusion Under Single and Cross User Setting

在他们的实验中,研究小组仅使用了三个人提供的 500 个随机输入 PIN 码操作的传感器数据,这意味着当数据更多时算法会更准确。

研究团队表示,根据他们掌握的样本,使用 50 个最常见的 PIN 码时,算法已能够以 99.5% 的准确率在第一次尝试时就猜中 PIN。之前的研究同样使用 50 个最常见的 PIN 码,但是准确率仅为 74%。

当研究团队试图在 20 次尝试范围内,猜中全部 10000 个可能的四位 PIN 码组合时,成功率由 99.5% 下降到 83.7%。研究人员表示,采用这种技术可以很容易地破解更长的 PIN 码。


以往研究证明问题很严重

南洋理工大学的研究团队强调,真正的问题在于应用程序不需要事先询问用户是否同意,便能直接访问传感器的数据。Android 和 IOS 都会受到这个问题的影响。这个设计缺陷可能会被武器化,并被用来窃取更多的密码。

在他们发布论文之前,有些研究就已经在进行了。

例如在今年九月,普林斯顿大学的研究人员悄悄从手机传感器收集数据,成功推断出用户的地理位置,而无需用户的 GPS 数据。

而在今年 4 月,英国纽卡斯尔大学的科学家创建了一个 JavaScript 文件,这个文件可以被嵌入到网页或恶意应用程序中,可以静静地记录手机传感器数据,使攻击者能够推断出用户在其设备上输入的内容。

研究人员希望这个问题能在系统层面解决,而不是在应用层面。随着这方面的研究越来越多,苹果和谷歌应该对用户传感器进行控制,以便在用户安装的 App 访问传感器数据时进行更安全的限制。

头图来源:视觉中国

责任编辑:双筒猎枪

本文由极客公园原创

转载联系 zhuanzai@geekpark.net


登录查看更多
0

相关内容

传感器(英文名称:transducer/sensor)是一种检测装置,能感受到被测量的信息,并能将感受到的信息,按一定规律变换成为电信号或其他所需形式的信息输出,以满足信息的传输、处理、存储、显示、记录和控制等要求。
最新《Deepfakes:创造与检测》2020综述论文,36页pdf
专知会员服务
62+阅读 · 2020年5月15日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【边缘智能综述论文】A Survey on Edge Intelligence
专知会员服务
119+阅读 · 2020年3月30日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
已删除
架构文摘
3+阅读 · 2019年4月17日
苹果首次披露Siri声纹识别技术
AI前线
6+阅读 · 2018年4月17日
HoloLens新应用:扫描脸部就能读出你的心跳
雷锋网
3+阅读 · 2018年3月3日
共享单车惨遭共享:一款App能骑9种车到底是啥神器?
黑客技术与网络安全
4+阅读 · 2017年7月6日
Deep Learning for Deepfakes Creation and Detection
Arxiv
6+阅读 · 2019年9月25日
Learning Recommender Systems from Multi-Behavior Data
Arxiv
8+阅读 · 2018年6月19日
Arxiv
3+阅读 · 2012年11月20日
VIP会员
相关资讯
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
已删除
架构文摘
3+阅读 · 2019年4月17日
苹果首次披露Siri声纹识别技术
AI前线
6+阅读 · 2018年4月17日
HoloLens新应用:扫描脸部就能读出你的心跳
雷锋网
3+阅读 · 2018年3月3日
共享单车惨遭共享:一款App能骑9种车到底是啥神器?
黑客技术与网络安全
4+阅读 · 2017年7月6日
Top
微信扫码咨询专知VIP会员