黑客可以窃取从智能手机传感器捕获数据的PIN和密码
来自纽卡斯尔大学的一组研究人员证明,黑客可能会猜测移动设备所有者输入的密码和密码,同时在网站或应用上进行身份验证。专家设计的技术具有惊人的准确性,专家可以监控电话的角度和运动,而业主正在键入密码。
不幸的是,手机不会限制网站和应用程序访问传感器的数据。
“大多数智能电话,平板电脑和其它可穿戴设备现在装备有传感器的多个,从公知的全球定位系统,照相机和麦克风来仪器如陀螺仪,接近,NFC,和旋转传感器和加速计,”读取纸 标题专家发表的“通过移动传感器窃取PIN码:实际风险与用户感知”。
“但由于移动应用程序和网站不需要许可才能访问其中的大多数,恶意程序可能会隐藏”侦听“您的传感器数据,并使用它来发现广泛的敏感信息,如电话时间身体活动甚至触摸动作,PIN和密码。“
研究人员能够从智能手机的25个传感器获取数据。
该脚本可嵌入移动应用程序或加载到受害者访问的网站上。这意味着攻击者只需要捣乱受害者访问恶意网站即可安装恶意应用程序。
此时,受害者每次访问网站或在设备的后台使用恶意应用程序时都会打电话,恶意脚本将从传感器访问数据,并记录可用于猜测PIN或密码的信息。
研究人员在第一次尝试时能够猜出四位数的PIN,精度为74%,第五次尝试的准确率为100%。这些结果是使用从50个设备记录的数据获得的,并且通过使用从运动和方向传感器收集的信息,这些特定类别的传感器不需要任何特殊的访问权限。
研究人员向Google和苹果,Mozilla 和Safari等领先的浏览器提供商报告了他们的发现, 已经部分解决了这个问题。无论如何,研究人员正在与IT行业的公司合作,寻找一种正确的解决方案来明确减轻这种攻击。
官方
3.18K篇文章
194.20M总阅读量
