这是36氪推出的晨间栏目「潮科技」。我们将筛选国内外科技公司的最新技术、潜力公司的酷产品、在实验室茁壮成长的新概念展现给大家。潮科技,又潮又有趣。
一次性破译四位数PIN码的准确率高达70%。
作者 | 谭菲君
编辑 | 傅博
在我们的生活全面“触网”的今天,网络安全一直是一个让人头疼又惊悚的话题。
虽然各大网站要求的登录密码越来越长,指纹和语音等生物识别技术也越来越成熟。但是我们依然要承认一点,那就是今天大多数手机的开机密码依然是简单的PIN码。
密码识别界面,三星躺枪
我们都知道PIN码不是那么的安全,但总是侥幸觉得应该还是能起到一定的保护作用。
但是现在英国纽卡斯尔大学教授的研究结果却告诉你,现在的PIN码根本形同虚设,黑客们通过你手机里各种传感器的数据就可以轻松破译你的PIN码。
日前,英国纽卡斯尔大学的研究专家在《国际信息安全》(International Journal of Information security)杂志上发表文章,他们在若干个著名的品牌手机上做了实验,而结果证明:
恶意网站以及安装的应用程序,可以轻松从手机中的运动传感器攫取信息,并破译我们的手机密码,进而窥视我们生活的方方面面。
纽卡斯尔大学计算机科学学院的研究员Maryam Mehrenzhad博士解释说:
“大多数智能手机、平板电脑和其他可穿戴设备现在都配备了众多传感器。从众所周知的GPS、摄像头和麦克风到诸如陀螺仪、NFC和旋转传感器等仪器,这些都是触及到密码的通道。”
仅仅通过分析用户行动时手机内部传感器接收到的各项数据指标,纽卡斯尔大学的研究员们一次性破译四位数PIN码的准确率高达70%。
虽然有些时候,研究员们的第一次破译尝试不成功,但是第五次的时候,他们破译的成功率…高达100%!
Oh my God!
虽然这种破译需要大量数据的支持,用户需要至少在设备上输入过50次PIN码,然后研究人员才能根据算法破译他们手机的密码(50次也不多好吗)。
但是想想我们花在手机上的时间吧,50次解锁时间说不定一两天就能够实现!
无处不在的传感器
各种可穿戴设备
今天,各式各样的手机app帮助我们记录每日的生活:走了多少步?睡了多久?睡眠质量如何?摄入了多少卡路里?…
自从“自我量化”成为现代人新的生活方式,健身应用就与传感器一起与我们的生活密不可分地捆绑在了一起。
我们的手机中大约有25种不同的传感器,它们与我们的生活息息相关:无论是最轻微的手腕运动,或是诸如坐、走、跑等以及不同形式的身体运动,传感器都可以记录下相关信息。
这些传感器现在已经成为大多数智能设备标准配置,用于提供有关设备及其用户的不同信息。然而这其中只有少数的传感器(例如相机和GPS)会在访问设备时向你的手机发出提醒。
Maryam Mehrenzhad博士解释说:
“在某些浏览器上我们发现,如果你在手机或平板电脑上打开一个包含类似恶意传感器的页面,然后再打开你的网上银行帐户,同时不关闭上一个选项卡,传感器则可以监测到你输入的每一个细节。
更糟糕的是,在某些情况下,除非你完全关闭它们,否则当您的手机被锁定时,他们甚至可以窥探你。“
而且研究发现,用户的每次触摸、点击、滚动都会触发特定的方向和运动轨迹,所以在每一个网页上,传感器都能够确定用户点击的页面区域以及他们正在输入的内容。
“这有点像拼图——你放在一起的东西越多,你就越容易看到图片的全貌。”
方便与安全,你更看重哪一个?
PIN码目前是主流的手机密码系统。尽管随着手机不断的更新换代,拥有更酷炫的功能和更好的用户体验,PIN码依然是相较而言最方便的验证系统。
但是因为传感器并没有统一的标准实施管理,所以潜在的网络安全风险不容忽视。
特别是当浏览器和传感器结合时,问题会变得日益严重:
浏览器(无论是手机或平板应用,还是电脑浏览器)都能够提供额外的信息。当这些信息与传感器数据相结合时,个人信息的破译将变得易如反掌。
Mehrenzhad博士表示,他们的团队已经向互联网行业中的所有的浏览器供应商发出了提醒,包括谷歌和苹果,但没有人能够给出完美的解决方案。