最新解密:黑客如何用传感器窃取手机pin码附完整报告地址

摘要。近日,英国纽卡斯尔大学发表报告称,该大学研究人员利用目标手机生成的传感器数据创建了一种窃取智能手机用户的 javascript,并通过网络浏览器捕获手机传感器数据。

摘要

近日,英国纽卡斯尔大学发表报告称,该大学研究人员利用目标手机生成的传感器数据创建了一种窃取智能手机用户pin码的方法。研究人员说,该方法在精确确定由手机所有者输入的四位pin数据时,成功率达到了74%。

英国纽卡斯尔大学的研究人员创建了一个名为pinlogger.js的javascript应用程序,可以访问手机传感器生成的数据,包括gps、摄像头、麦克风、加速度计、磁力计、接近度、陀螺仪、计步器和nfc协议。

该报告的主要作者,英国纽卡斯尔大学的研究人员玛丽亚姆·梅纳扎德(maryam mehrenzhad)在报告中写道:“尽管存在威胁,但研究表明,人们并不了解其风险,我们大多数人对目前的智能手机中二十五种不同传感器中大多数都不了解。”

在攻击时,用户被诱骗通过智能手机的浏览器访问恶意网页,移动网站将运行pinlogger.js javascript,并通过网络浏览器捕获手机传感器数据。根据该报告,移动设备上的许多传感器不需要用户对网站或web浏览器应用程序的许可就可以收集传感器数据。

研究人员写道:“我们假设用户在使用移动浏览器时以iframe或其他标签的形式加载了恶意网页内容。此时,攻击代码已经开始从用户与手机的互动中收听传感器序列。”

浏览器基于javascript的攻击可能对用户构成安全威胁。研究人员在发布的报告中说,与应用程序内攻击不同,他们不需要任何应用安装和用户许可。研究人员发现使用50 pin的样本集,他们的脚本能够在第一次猜测用户pin码的正确率达到74%,这在第二次和第三次尝试中增加到了86%和94%的成功率。

作为计算机科学学院的高级研究员,该研究报告的作者之一,siamak shahandashti写道:“我们每一个动作,无论是点击、翻页还是长按、短按,都会造成一种独特的倾斜角度和运动轨迹,所以在一个已知的网页上,研究人员可以知道用户在点击页面的哪一部分以及他们在输入的内容。”

研究人员指出,大多数用户比较关心相机或gps等显而易见的传感器,不会将其他不太明显的传感器视为威胁。

mehrnezhad说:“我们发现,如果您在手机或平板电脑上在某些浏览器中打开一个含有恶意代码的页面,然后再打开您的网上银行帐户,如果不关闭上一个选项卡(含有恶意代码的页面),那么他们可以窥探您在网上银行的个人操作细节。”

研究人员表示,他们已经联系浏览器提供商,提醒他们可能遇到的攻击情况。

研究人员还指出,一些移动浏览器厂商,如mozilla、firefox和apple safari已经部分解决了这个问题。

对于firefox,从46版(2016年4月发布)开始,浏览器就限制javascript访问运动和方向传感器。苹果ios 9.3的安全更新(2016年3月发布)之后,当网络视图被隐藏时,就暂停了运动和方向数据的可用性。

至于google,目前还不清楚采取了哪些措施。报告指出:“我们的关注得益于google chromium团队的成员,他们也认为这个问题仍未得到解决。”google没有对此报告发表评论。

研究人员建议用户定期更改pin和密码,在不使用时关闭后台应用程序和浏览器。

报告最后建议:“让您的手机操作系统和应用程序保持最新,并且只从认可的应用商店安装应用,审核您手机上的应用程序权限。”

相关链接:通过移动传感器窃取pin:实际风险与用户感知(附完整报告地址)

完整报告地址:https://link.springer.com/article/10.1007/s10207-017-0369-x?wt_mc=internal.event.1.sem.articleauthoronlinefirst#sec