一位研究者最近公布了一种奇葩的破解手机 PIN 码手法,据称有 74% 的概率可以判断出用户输入的 4 位数 PIN 码──利用你的智能手机里的各种感测器。
据了解,这位来自英国新堡大学的研究人员制造了一种名叫“PINlogger.js”的程式脚本,它可以连上手机中各种感测器中的数据,包括 GPS 定位、镜头、麦克风、重力感应器、陀螺仪、磁力计、NFC 感应等,各类手机感测器通吃。
在攻击展示中,用户被引诱打开一个网页。该网页将自动执行这段程式脚本,透过网页浏览器捕捉手机感测器的数据。这个脚本的厉害之处在于,它不需要用户授权网站或浏览器程式采集相关数据,也就是说在不知不觉的情况下,用户的资料就已经被全部偷走。
研究人员在报告中写道:
当用户透过 iframe 的形式(一种网页标签形式)挂载了网页内容,攻击代码就已经开始监听用户透过手机感测器输入的数据。
据了解,在上周公布的报告中,研究人员表示,利用手机浏览器内的 JavaScript(脚本)攻击,完全可以对使用者造成安全威胁。不同于那些依赖手机应用程序的攻击方式,这种攻击方式不需要受害者安装任何程式,也不需要用户授权。
在展示中,研究人员透过上述方式,首次尝试就有 74% 的概率能获取,如果用户反复输入,盗取密码的成功率,将在后两次尝试中上升到 86% 和 94%。研究人员说,这个概率取决于我们拿手机输入密码的方式:
- 有可能单手拿着,拇指输入
- 有可能一只手拿着,另一只手输入
- 可能双手一起输入
不过无论使用哪种方式,无论是滑动输入还是点击输入,都可以记录下用户的触碰屏幕的数据。
研究人员指出,大部分人只关心一些比较敏感的感测器安全,比如镜头、GPS,其实一些不太明显的感测器也可能成为一种威胁。如果用户打开了带有这种恶意脚本的网页没有关闭,然后在手机上输入了网银的账号密码,那么就有可能导致网银被盗。
研究人员在公布成果之前,已经和各大浏览器厂商取得了联系,提醒防范可能存在的攻击方式。
事实上,在此之前浏览器厂商也注意到了手机感测器可能带来的安全隐忧。火狐浏览器已经在 2016 年 4 月发布的版本更新中,就对浏览器中 JavaScript 脚本访问运动和方向感测器进行了限制。苹果也早在 iOS 9.3 发布时就对定位、螺旋仪等感测数据进行了限制。但目前 Google 方面还未发表任何说明,表明已经对该问题采取了相关措施。
最后在该安全报告中,研究人员建议用户在不使用应用程序或浏览器的时候,尽量关闭它们,以防万一。
- PHONE HACK USES SENSORS TO STEAL PINS
(本文由 雷锋网 授权转载;首图来源:Flickr/Ervins Strauhmanis CC BY 2.0)
