有研究表明,黑客可以通过用户输入手机密码时倾斜手机的角度猜出用户密码。
英国当地时间4月11日,《卫报》报道称,纽卡斯尔大学的计算机科学家团队研究出一种可以猜出用户手机密码的方法:他们通过获取用户智能手机的内置陀螺仪装置所收集信息,首次尝试就能猜中密码的概率高达70%,尝试5次的命中率就达到了100%。
这种理论上的黑客行为主要利用了智能手机的一个漏洞,即移动端浏览器应用会要求手机与其分享数据。当手机使用地理位置等敏感信息时,会弹出窗口要求用户授权,用户一旦授权,网站就可以读取用户的任何授权信息。恶意网站也可以这样做,从而在用户不知情的情况下,获取看似无害的信息,如手持装置的方向等。
该研究团队发现,大部分智能设备都配备,且可以被用来泄露用户信息的内置传感装置高达25种。而用户的任何一种动作,无论是点击、翻页还是长按、短按,都会造成一种独特的倾斜角度和运动轨迹,所以在一个已知的网页上,研究人员可以知道用户在点击页面的哪一部分以及他们在输入的内容。
目前,网站在使用地理位置信息、摄像头和麦克风等功能时,都会要求用户授权,因为这些信息被视为敏感信息,但手机倾斜角度、手机屏幕大小这种数据一般不被认为是敏感信息,所以会被分享给所有发送共享请求的网站和应用。
由于目前行业里对于手机内置传感装置的使用方法不一而足,即使上述研究暴露除了安全漏洞,生产商也很难给出相应的应对策略。
该团队声称,已经针对此安全问题向最大浏览器提供商谷歌和苹果发出了警告,但至今没有得到回应。
当然,手机用户也不必太过担心黑客会用这种技术侵入其设备,因为这种攻击所使用的方法存在很大技术屏障,足以限制其被用于日常生活。要达到前述70%的准确度,黑客需要对系统进行大量的“训练”,即提供足够的用户行为数据。即使是猜一个简单的4位密码,研究人员都需要手机用户输入50组已知的密码,每组输入5次,系统才能学习到用户握手机的习惯,并将猜中密码的准确度提高到70%。
事实上,在此之前浏览器厂商也注意到了手机传感器可能带来的安全隐患。火狐浏览器已经在2016四月发布的版本更新中,就对浏览器中 JavaScript 脚本访问运动和方向传感器进行了限制。苹果也早在iOS 9.3 发布时就对定位、螺旋仪等传感数据进行了限制。但目前谷歌方面还未发布任何说明,表明已经对该问题采取了相关措施。
此外,之前两位德国大学的研究者带来了一个新研究:给人配备一个热成像摄像头,就会很容易地从屏幕上读取到使用者手掌留下的热量残留,从而破解其手机密码。其热量残留在你触摸后的三十秒后依旧可以被读取。
在一个视频中,两位研究者展示了这种获取密码的方式是多么的简单。一个使用者输入密码解锁他的手机后,将手机息屏并放在了桌面上,然后他起身去买了杯咖啡,这时窥探者迅速靠近,将热成像摄像头对准手机屏幕,短暂的停留后便转身走开。
还有一种类似于高科技版的密码获取方式,即窥探者通过手指在屏幕上留下的油脂来重建登录密码。在2010年宾夕法尼亚大学研究者发表的一篇论文中,研究者将其称为一种“信息泄露”,而这种密码获取方式成本极低,只需要一个普通的照相机以及一个图片编辑软件就能办到。
这种利用手机上的印记来获取密码的方式对于安卓系统的图形密码显得十分有效,那些用户用来解锁的图形,窥探者可以通过屏幕上的残留得知用户的图形方向与顺序,从而轻而易举地复制这个密码。但是对于iPhone上的数字密码来说,该方法就变得没有那么得心应手了:它可以找出你的密码分别是多少,但是无法分辨出其排列顺序。但是这或多或少还是剔除了大多数可能性,剩下的就需要一些猜测来找到真正的密码了。
而如果换成利用热成像工具获取密码的方式,就不存在这种问题了。由于热量的递减,用户在屏幕上点击密码后留在每个点上的热量是不同的:第一个输入的位置是最凉的,而最后点击的密码位置则是最暖的。如果整个屏幕上只有两个或三个热点,那么就说明其中一个或两个数字一定是重复的。手机对于输错密码的限制是多次的,攻击者完全有机会在有限的机会内找出正确的密码。如果只有一个热点,那么就说明这个数字重复了四次。(在2011年,加州大学圣地亚哥分校的研究人员用类似的方法猜出了ATM的密码)
你的手机真的有那么安全吗?
电脑报新媒体:孙文聪
点击下方阅读原文,关注电脑报新媒体矩阵更多精彩
