奇葩攻擊方法:手機感測器可能暴露你的密碼
一位研究者最近公佈了一種奇葩的破解手機 PIN 碼手法,據稱有74%的概率可以判斷出用戶輸入的四位數 PIN 碼—— 利用你的智慧手機裡的各種感測器。
據雷鋒網瞭解,這位來自英國紐卡斯爾大學的研究人員製造了一種名叫“PINlogger.js”的程式腳本,它可以訪問手機中各種感測器中的資料,包括 GPS定位 、攝像頭、麥克風、重力感應器、陀螺儀、磁力計、NFC感應等等,各類手機感測器通吃。
在攻擊演示中,使用者被引誘打開一個網頁。該網頁將自動運行這段程式腳本,通過網頁流覽器捕捉手機感測器的資料。
這個腳本的厲害之處在於,它不需要使用者授權網站或流覽器程式採集相關資料,也就是說在不知不覺的情況下,使用者的資料就已經被全部偷走。
研究人員在報告中寫道:
當用戶通過 iframe 的形式(一種網頁標籤形式)載入了網頁內容,攻擊代碼就已經開始監聽用戶通過手機感測器輸入的資料。
據雷鋒網瞭解,在上周公佈的報告中,研究人員表示,基於手機流覽器內的 JavaScript (腳本)攻擊完全可以對使用者造成安全威脅
。不同于那些依賴手機應用程式的攻擊方式,這種攻擊方式不需要受害者安裝任何程式,也不需要使用者授權。
在演示中,研究人員通過上述方式,首次嘗試就有74%的概率能獲取,如果用戶反復輸入,盜取密碼的成功率將在後兩次嘗試中上升到 86% 和 94%。研究人員說,這個概率取決於我們拿手機輸入密碼的方式:
有可能單手拿著,拇指輸入
有可能一隻手拿著,另一隻手輸入
可能雙手一起輸入
不過無論使用哪種方式,無論是滑動輸入還是點擊輸入,都可以記錄下使用者的觸屏資料。
研究人員指出,
大部分人只關心一些比較敏感的感測器安全,比如攝像頭、GPS,其實一些不太明顯的感測器也可能成為一種威脅。
如果用戶打開了帶有這種惡意腳本的網頁沒有關閉,然後在手機上輸入了網銀的帳號密碼,那麼就有可能導致網銀被盜。
據雷鋒網瞭解,研究人員在公佈成果之前,已經和各大流覽器廠商取得了聯繫,提醒防範可能存在的攻擊方式。
事實上,在此之前流覽器廠商也注意到了手機感測器可能帶來的安全隱患。火狐流覽器已經在2016四月發佈的版本更新中,就對流覽器中 JavaScript 腳本訪問運動和方向感測器進行了限制。蘋果也早在iOS 9.3 發佈時就對定位、螺旋儀等傳感資料進行了限制。但目前穀歌方面還未發佈任何說明,表明已經對該問題採取了相關措施。
最後在該安全報告中,研究人員建議使用者在不使用應用程式或流覽器的時候,儘量關閉它們,以防萬一。
via
threat post