跟你想的不一样,手机的解锁 PIN 码没有那么安全,科学家发现可以用陀螺仪的数据 ,精准猜出手机主人的 PIN 码。
英国新堡大学(Newcastle University )的研究人员在《国际资讯安全杂志》( International Journal of Information security)发表了论文,其中示范了手机的陀螺仪──追踪手腕旋转和方向的感测器,可以用来精准地猜出一组四位数的 PIN 码。在一次测试中,该团队以 70% 的准确率破解了密码,连续测到第 5 次时,准确率高达 100%。
当然,要破解 PIN 码,还是需要把大量数据喂给程式的类神经网络。英国卫报(The Guardian )指出,使用者必须先键入 50 个已知的 PIN 码,然后研究人员的算法才能够辨识出来。该算法的原理是使用者按屏幕某个区域上的数字按钮时,会造成手机特定的微小晃动与角度变化。而要辨识出来,其实也不简单,毕竟每个人的手劲、动作习惯都不同,因此要对程式好好“训练”一番,才猜得出来使用者输入了什么。但是,这明确地突显出恶意程式的危险性,因为要存取陀螺仪感测器数据,不需要取得手机使用者的许可。
论文的主作者 Maryam Mehrenzhad 博士,是新堡大学电脑科学学院研究员,他表示说:“大多数智能手机、平板电脑与其他穿戴装置现在都配备大量的感测器,但由于 App 和网站不需要征询使用者的许可,就可以取用这些感测器的数据,恶意程式有可能隐藏其‘监听’感测器数据的企图。”
该团队确定了共 25 款不同的智能手机,其感测器可能会因此泄露使用者操作手机时的感测器数据。更糟糕的是,只有少数感测器的使用行为(例如相机和 GPS),会在安装 App 时征询使用者的许可。
这让人感到非常毛骨悚然,单单使用“方向”和“动作追踪”的数据,不只是 PIN 码,滑动、点击、不同的握持法(一只手用拇指滑,或者一只手拿手机,另一只手滑屏幕)等,都会产生特定的感测资料(是的,你手腕的摇晃,会留下蛛丝马迹),因此研究人员甚至可以监测到使用者在一个网页上做了哪些操作?打了什么字?要完整监控一个人使用手机的行为,不是难事。
该学院的高级研究员兼本研究成员 Siamak Shahandashti 博士表示:“这有点像拼图,你放上越多缺片,就越容易洞见完整的图片。” 而 Mehrenzhad 表示,该团队已经向领先的浏览器开发团队提醒这个问题,Mozilla 和 Safari 都已经做出了修正。但她表示,研究人员仍在与业界合作,寻找更好的解决方案。
Mehrenzhad 说:“我们对生产最新功能、拥有优秀使用者体验的厂商提出呼吁,目前整个行业的感测器没有统一的管理方式,这对大家的个人安全真的造成了威胁”。
要如何保护自己
试想这样的情境:如果有不法份子做了这类恶意 App 常驻在手机后台 ,它诱发你输入大量文字或特定操作(这样的 App 可能做成聊天室形态),“协助训练”它,直到它能“破译”出你的大量操作行为,只要掌握到“你什么时间打算去哪里?怎么去?身上是否有高价的东西?”坏人就可以在半路上拦截你,做出实体犯罪行为。
这是一个很真实的可能性,Mehrenzhad 博士建议以下这些保护自己的方法:
- 经常更改 PIN 码与密码,让恶意网站或程式难以辨识你的“手触”习惯模式。
- 关闭后台应用程序,当你不使用它们时,就移除。
- 保持你手机的操作系统与应用程序是最新版。
- 只从有信誉的 App 商店安装程式。
- 认真审核自己手机上应用程序的权限。
- 安装应用程序之前,请仔细检查应用程序的权限,如果发现有敏感的感测器使用请求,应该适当变更。
Mehrenzhad 说:“这是可用性和安全性之间的战斗。”虽然有点不方便,但可以保障你的人身安全。笔者也分享一个小技巧,三不五时把自己的手机借给可信赖的朋友操作,也是一个方法,因为两个人的触控习惯不同,混淆进一堆不一样的触控习惯数据,这会增加坏人程式“破解”你操作行为的难度。
下一部 007 或其他谍报电影搞不好就会应用这样的哏,抓到对手的情报员呢!所以自己的人身安全要延伸到手机、平板电脑等连网触控装置上,好的使用习惯,才能杜绝坏人窥视你的可能性。
- Are your sensors spying on you?
- A neural network helped researchers crack smartphone PINs using built-in motion sensors
(首图来源:Flickr/Tony Alter CC BY 2.0)
