跟蹤手機運動破解密碼

黑客們能根據我們輸入信息時傾斜手機的方式破解PIN碼或者密碼。

英國紐卡斯爾大學的網路專家揭露了惡意網站以及安裝的應用能僅僅利用手機中運動感測器的信息，輕易地實現對我們的暗中觀察。

通過分析我們輸入信息時手機的運動狀況，他們證實有可能只根據手機的內部感測器數據破解4位PIN碼，一次猜測的準確度達70%，五次猜測即為100%。

研究者表示人們現在對此風險還一無所知，大部分人對手機上的25個不同感測器的功能所知甚少。

雖然產業界的大部分人都意識到了這個問題，但沒人能找到解決方法。

研究團隊將該成果發表在了4月10的國際信息安全雜誌上，他們正研究個人健康跟蹤設備帶來的額外風險。個人健康設備與我們的在線資料有關，可跟蹤手腕最輕微的運動以及一般的身體活動，比如行走坐跑以及其他形式的通勤。

論文主要作者、計算機科學學院研究院Maryam Mehrnezhad博士解釋道：「大部分智能手機、平板以及其他可穿戴設備都裝備了大量感測器，從廣為人知的GPS，相機和麥克風到陀螺儀，距離感測器，NFC，旋轉感測器以及加速度計等設備。但由於移動應用和網站無需請求許可權即可使用大部分感測器，惡意程序就能秘密地監聽你的感測器數據，並利用該數據發現你的各種敏感信息，比如通話時間，身體活動以及甚至是你的觸摸行為，PIN碼和密碼等。更令人擔憂的是，在某些瀏覽器上，我們發現如果你在手機或者平板上打開有惡意代碼的網頁之後，沒有關閉就打開其他網頁，比如你的網上銀行賬戶，他們就能監控你輸入的所有個人信息。更糟糕的是，在某些情況下，除非你完全關閉，他們甚至能在你手機鎖屏之後還能監控你。姑且不管真正的風險，當我們詢問人們他們最在意什麼感測器時，我們發現在感知到的風險和常人的理解能力之間有直接的關係。也就是相比於沉默的感測器，人們更關注相機和GPS。」

不經請求的訪問

智能設備中有各種感測器，引起了移動遊戲和健康應用的興起，並將不久之後組成物聯網。

感測器提供的數據與移動設備增長的計算能力相結合，改變了我們的使用方式。

研究團隊總共鑒定了25中不同的感測器，這些在目前的大多數智能設備中都很常見，然而其中只有一小部分，比如相機和GPS，才會請求使用者的允許。

該研究發現用戶的每個觸摸動作——點擊，滾動，按住，輕敲都會產生獨特的運動和方向軌跡。所以在一個已有的網頁上，研究團隊能決定用戶正在點擊哪一部分以及正在輸入什麼。

研究的共同作者、計算機科學學院的高級研究助理Siamak Shahandashti解釋道：「這有點像拼圖，收集到的碎片越多就越容易得到圖片的全景。根據我們打字的方式——單手拿手機用大拇指打字，或者是用另一隻手打字，又或者是觸摸或者滑動的方式，設備將會以一種特定的方式傾斜，很容易就能將傾斜的模式與我們日常使用的『觸摸簽名』聯繫起來。內部的感測器每個提供了不同部分的拼圖。你戴在手上的個人健康跟蹤器從本質上來說是設計來跟蹤你的手部的運動，並將信息傳遞到你的在線資料，是一種全新的威脅。它們還可能潛在地提供額外的信息，當將其與感測器信息結合時，就能很容易解密出個人信息。」

所以我們能保護自己嗎？

研究團隊已經警告了所有主流瀏覽器開發商這個風險，包括谷歌和蘋果，但Mehrnezhad博士說，沒有人能提供一個答案。

她說：「這是易用性與安全性之間的博弈。我們都在呼籲新手機要有新的特性，要改善用戶體驗，但在整個行業由於沒有管理感測器的統一方式，對我們的個人安全是極大的威脅。一個方法是不使用任何瀏覽器，但我們又不想失去內建的運動感測器帶來的好處。」

由於該研究的爭取，某些移動瀏覽器供應商已經部分修復了這個問題，比如Mozilla，火狐和蘋果Safari，但要最終解決這個問題，團隊仍然在與整個行業進行努力。

Mehrnezhad博士與她的同事Ehsan Toreini開設了網路安全：家庭，在線，生活中的安全課程，是紐卡斯爾大學大型公開網路課程MOOCs系列的一部分。該課程提到人們可參照以下幾條簡單地準則：

定期更換PIN碼和密碼，這樣惡意網站就來不及識別；

不用的時候關閉後台應用，當你再也不需要的時候就卸載掉；

保證手機操作系統和應用都是最新的；

只從正規應用商店安裝應用；

審查手機上應用的許可權；

安裝手機應用之前詳細審查要求的許可權，選擇許可權需求更合理的應用。

[CliffBao via phys]

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！