恐怖!恶意程序通过传感器数据猜到你密码:指纹失效

恐怖!恶意程序通过传感器数据猜到你密码:指纹失效

近日,新加坡南洋理工大学(NTU)的研究人员在本月发表了一个研究结论。恶意程序可以自由访问智能手机上的传感器数据,收集传感器产生的高度敏感的信息,并利用这些信息猜测用户的手机PIN码。

这项研究背后的三个科学家只是最近的一批研究人员,此前有其他人做过其他的研究,这次的研究者们注意到在Android和iOS等现代移动操作系统的设计中出现了明显的安全漏洞。研究人员表示,这些操作系统不需要应用程序在访问传感器数据之前向用户请求权限。

为了证明他们的观点,研究人员创建了一个App,安装在了安卓测试机上,该应用程序能静默收集来自六种传感器中的数据,它们分别是:加速计、陀螺仪、磁力计、近距离传感器(使用红外线进行近距离测距的传感器)和环境光传感器。

当用户用手指在触摸屏上输入PIN码并解锁手机时,研究人员能人工智能算法分析传感器数据,包括手机的倾斜状态(空间和角度相关坐标)、附近的环境光,来区分不同按键上的按压,从而推断出PIN码。

在他们的实验中,研究小组仅使用了三个人提供的500个随机输入PIN码操作的传感器数据,这意味着当数据更多时算法会更准确。

研究团队表示,根据他们掌握的样本,使用50个最常见的PIN码时,算法已能够以99.5%的准确率在第一次尝试时就猜中PIN。之前的研究同样使用50个最常见的PIN码,但是准确率仅为74%。

当研究团队试图在20次尝试范围内,猜中全部10000个可能的四位PIN码组合时,成功率由99.5%下降到83.7%。研究人员表示,采用这种技术可以很容易地破解更长的PIN码。

南洋理工大学的研究团队强调,真正的问题在于应用程序不需要事先询问用户是否同意,便能直接访问传感器的数据。Android和IOS都会受到这个问题的影响。这个设计缺陷可能会被武器化,并被用来窃取更多的密码。

在他们发布论文之前,有些研究就已经在进行了。

例如在今年九月,普林斯顿大学的研究人员悄悄从手机传感器收集数据,成功推断出用户的地理位置,而无需用户的GPS数据。

而在今年4月,英国纽卡斯尔大学的科学家创建了一个JavaScript文件,这个文件可以被嵌入到网页或恶意应用程序中,可以静静地记录手机传感器数据,使攻击者能够推断出用户在其设备上输入的内容。

研究人员希望这个问题能在系统层面解决,而不是在应用层面。随着这方面的研究越来越多,苹果和谷歌应该对用户传感器进行控制,以便在用户安装的App访问传感器数据时进行更安全的限制。

米粒在线
  • 本文由 发表于 2018年1月1日21:48:22
  • 转载请务必保留本文链接:https://www.miliol.org/84674.html
科技

三折秒杀!京东年货节正式启动

明天,1月10日,农历腊月初八,腊八节。 今天,1月9日,20点,京东正式启动了一年一度的年货节大促活动,各种优惠促销纷纷开启。 京东官方也奉上了京东超级秒杀日必买清单,不少产品半价,有的...
生活道理

熬夜如何改变了我们的身体

熬夜的危害有很多,如:经常感到疲劳,免疫力下降:人经常熬夜造成的后遗症,最严重的就是疲劳、精神不振;人体的免疫力也会跟着下降,感冒、胃肠感染、过敏等等自律神经失调症状都会出现。 头痛:熬夜的隔天,上班...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: