锋观点

我要投稿
文章作者头像

神_谕

2017-04-13 19:45:30

盗窃新手段 黑客根据手机陀螺仪倾斜角度猜密码

  • 威锋客户端

  • 用微博扫我

       由于手机上的某些重要零件、传感器可以提供用户的私密信息,为了个人信息安全一般应用在功能上需要使用到这种敏感零件和传感器时都会弹框询问用户是否允许这个应用使用,例如摄像头、麦克风和 GPS 等。而其他的基础传感器因为没能提供直接的用户信息而不需要手机使用者额外允许就能被应用程序使用,但你有没有想过,这些基础传感器依旧有泄露信息的可能性?
 
       近日英国的纽卡斯尔大学计算机科学家团队就研究出一种可以猜算出用户手机密码的新方法,他们利用智能手机里面的陀螺仪收集用户的使用信息,根据收集到的信息第 1 次尝试猜算用户的手机密码就有 70% 的几率可以猜中,在尝试到第 5 次的时候基本可以达到 100% 的几率可以破解用户的手机密码。
 
       要实现窃取用户手机陀螺仪信息,黑客首先要与用户的手机取得关联,常见的方法就是通过恶意应用或者恶意网站来实现。因为陀螺仪不属于重要的敏感零件,所以这些恶意应用或网站就可以绕开用户授权,利用漏洞直接读取到智能手机内基础零件的使用数据。用户就会在完全不知情的情况下被黑客盗取用户手机的陀螺仪信息,从而通过推算得到用户的个人密码。

 
       那这种黑客盗取密码的新型手段是不是真的有用呢?其实我们可以拿起手机大概感受一下,在我们要输入密码解锁手机的时候,因为密码数字都是平均分布在手机屏幕上面,尤其在单手输入的情况下手机的倾斜角度会随着手势改变、手指按动的动作而相应有所改变。输入动作的改变虽然不大,但也足以被手机内的陀螺仪记录下来。

 
       当然了,这项新手段只是说有可能会让一些黑客以此作为盗取用户手机密码的方法,但实际上每个人的输入习惯不同,这种方法需要配合大量的行为学习才能够进行准确率高的密码分析。
 
       纽卡斯尔大学计算机科学家团队也坦言,要让这个系统达到 70% 的准确率,黑客首先要让这个恶意程序长期存在于用户的手机上,不断记录用户的输入习惯作为运算模型才有可能破解用户密码。例如要让这个系统猜算简单的 4 位数手机解锁密码,也得要让用户在输入 50 组已知密码,每组重复输入 5 次之后,这个系统才能够掌握到这位用户的输入习惯,黑客才能够以此把破解密码的准确率提升到 70%。
 
       再加上不少人习惯在输入密码时使用双手输入,这样的举动就足以减低手机的倾斜角度,恶意应用就更难掌握用户输入习惯。如果你习惯把手机放在桌子上输入或者直接使用指纹识别解锁手机,那这个恶意应用基本上就无法完成用户输入习惯的运算模型了。

 
       不过不容易被记录输入习惯,也并不代表着用户手机密码就肯定不会被破解。毕竟除了简单的手机解锁密码之外,大部分银行卡和支付软件的密码都是使用 6 位数字组成的,虽说现在基本都可以使用指纹识别来支付,但有些时候应用重新安装或者添加新的银行卡总会有要求你重新输入付款密码的时候。只要这个盗取手段理论上可以成立,那就应该要在日常应用使用上多加留心。
 
       要最大限度地杜绝这些恶意应用和网站,一般来说只要不胡乱安装未经审核的第三方应用和不乱点击有疑问的超链接网站,基本都可以确保自己手机的信息安全。特别是在第三方应用上,最好都在官方应用平台上下载通过安全审核的应用。
 
       iOS 用户比较容易解决这个问题,直接在苹果的 AppStore 上下载即可。而安卓用户如果能够通过科学手段连上世界互联网的话,在 Google Play 平台上下载安全应用也是一个很不错的选择。如果没办法连上 Google Play,那就首选各自品牌手机内置的官方应用商店。如果在官方应用商店找不到自己需要的应用,再考虑安装口碑较好的第三方应用商店,尽可能地不要下载安装不明网站上的第三方应用。

 
       而且也正因为很多基础传感器都不需要得到用户的授权就能让应用连接记录数据,日后如果黑客对这些基础传感器数据的猜想运算日渐成熟,就能进一步猜算用户对手机的各种细微操作,例如点击了屏幕页面的哪个部分、屏幕滑动方向,甚至是输入的内容。
 
       随着手机操作系统越来越智能化,能够更好地帮助我们管理更多关乎于财产生命安全的同时,也招来了用心不良的黑客制作出更难以察觉的盗窃信息手段。时代不断进步,也许对于一些基础传感器的安全权限重视程度也应该要得到相应的改进。棱镜门事件的曝光就是一个很好的警示,网络之下我们更应该注重自己的信息安全。
 
锋观点二维码

微信订阅“锋观点”请搜索

公众号:weiphonegd

锋友跟帖
人参与
人跟帖
现在还没有评论,请发表第一个评论吧!
正在加载评论
返回顶部
关闭