主页 > W慢生活 >手机感应器可能洩露你的密码 >

手机感应器可能洩露你的密码


2020-07-11


手机感应器可能洩露你的密码

一位研究者最近公布了一种神奇的破解手机 PIN 码手法,据称有 74% 的机率可以判断出使用者输入的四位数 PIN 码—— 利用你的智慧手机里的各种感应器。

据了解,这位来自英国纽卡斯尔大学的研究人员製造了一种名叫「PINlogger.js」的程式脚本,它可以获得手机中各种感应器中的数据,包括 GPS 定位 、镜头、麦克风、重力感应器、陀螺仪、磁力计、NFC 感应等等,各类手机感应器通吃。

在攻击演示中,使用者被引诱打开一个网页。该网页将自动运行这段程式脚本,通过网页浏览器捕捉手机感应器的数据。这个脚本的厉害之处在于,它不需要使用者授权网站或浏览器程式採集相关数据,也就是说在不知不觉的情况下,使用者的数据就已经被全部偷走。

研究人员在报告中写道:

当使用者通过 iframe 的形式加载了网页内容,攻击代码就已经开始监听使用者通过手机感应器输入的数据。

据了解,在上周公布的报告中,研究人员表示,基于手机浏览器内的 JavaScript (脚本)攻击完全可以对使用者造成安全威胁。不同于那些依赖手机应用程式的攻击方式,这种攻击方式不需要受害者安装任何程式,也不需要使用者授权。

在示範中,研究人员通过上述方式,首次尝试就有 74% 的机率能窃取,如果使用者反复输入,成功率将在后两次尝试中上升到 86% 和 94%。研究人员说,这个机率取决于我们拿手机输入密码的方式:

不过无论使用哪种方式,无论是滑动输入还是点击输入,都可以记录下使用者的触碰数据。

研究人员指出,大部分人只关心一些比较敏感的感应器安全,比如镜头、GPS,其实一些不太明显的感应器也可能成为一种威胁。如果使用者打开了带有这种恶意脚本的网页没有关闭,然后在手机上输入了网银帐号密码,那幺就有可能导致网银被盗。

据了解,研究人员在公布成果之前,已经和各大浏览器厂商取得了联繫,提醒防範可能存在的攻击方式。

事实上,在此之前浏览器厂商也注意到了手机感应器可能带来的安全隐患。火狐浏览器已经在 2016 四月发布的版本更新中,就对浏览器中 JavaScript 脚本访问运动和方向感应器进行了限制。苹果也早在 iOS 9.3 发布时就对定位、螺旋仪等传感数据进行了限制。但目前 Google 方面还未发布任何说明,表明已经对该问题採取了相关措施。

最后在该安全报告中,研究人员建议使用者在不使用应用程式或浏览器的时候,尽量关闭它们,以防万一。



上一篇:
下一篇:

热门推荐


DIY照后镜除雾片(4之2)
DIY照后镜除雾片(4之2)
提高开车安全指数在多雨雾的台湾,可将雨滴与雾气消除的加热型照
DIY照后镜除雾片(4之3)
DIY照后镜除雾片(4之3)
提高开车安全指数在多雨雾的台湾,可将雨滴与雾气消除的加热型照
DIY照后镜除雾片(4之4)
DIY照后镜除雾片(4之4)
提高开车安全指数在多雨雾的台湾,可将雨滴与雾气消除的加热型照
DIY爱车美容术 从忙碌中偷点爱车的共处时光
DIY爱车美容术 从忙碌中偷点爱车的共处时光
在资讯大爆炸时代,每个人都非常忙碌,一刻也停不下来,即便开车
DIY爱车美容术
DIY爱车美容术
轮圈清洗的顺序正常是在洗完车身外观后进行,但为何达人要特别将
DIY玩家天堂杀肉厂 原厂OEM大不同
DIY玩家天堂杀肉厂 原厂OEM大不同
Q1.台湾有杀肉厂吗?Q2.买副厂OEM好还是副厂无牌好?Q