手機感測器可能洩露你的密碼

一位研究者最近公佈了一種奇葩的破解手機 PIN 碼手法，據稱有74%的概率可以判斷出用戶輸入的四位數 PIN 碼—— 利用你的智慧手機裡的各種感測器。

據雷鋒網瞭解，這位來自英國紐卡斯爾大學的研究人員製造了一種名叫“PINlogger.js”的程式腳本，它可以訪問手機中各種感測器中的資料，包括 GPS定位 、攝像頭、麥克風、重力感應器、陀螺儀、磁力計、NFC感應等等，各類手機感測器通吃。

在攻擊演示中，使用者被引誘打開一個網頁。該網頁將自動運行這段程式腳本，通過網頁流覽器捕捉手機感測器的資料。

這個腳本的厲害之處在於，它不需要使用者授權網站或流覽器程式採集相關資料，也就是說在不知不覺的情況下，使用者的資料就已經被全部偷走。

研究人員在報告中寫道：

當用戶通過 iframe 的形式（一種網頁標籤形式）載入了網頁內容，攻擊代碼就已經開始監聽用戶通過手機感測器輸入的資料。

據雷鋒網瞭解，在上周公佈的報告中，研究人員表示，基於手機流覽器內的 JavaScript (腳本）攻擊完全可以對使用者造成安全威脅

。不同于那些依賴手機應用程式的攻擊方式，這種攻擊方式不需要受害者安裝任何程式，也不需要使用者授權。

在演示中，研究人員通過上述方式，首次嘗試就有74%的概率能獲取，如果用戶反復輸入，盜取密碼的成功率將在後兩次嘗試中上升到 86% 和 94%。研究人員說，這個概率取決於我們拿手機輸入密碼的方式：

有可能單手拿著，拇指輸入

有可能一隻手拿著，另一隻手輸入

可能雙手一起輸入

不過無論使用哪種方式，無論是滑動輸入還是點擊輸入，都可以記錄下使用者的觸屏資料。

研究人員指出，

大部分人只關心一些比較敏感的感測器安全，比如攝像頭、GPS，其實一些不太明顯的感測器也可能成為一種威脅。

如果用戶打開了帶有這種惡意腳本的網頁沒有關閉，然後在手機上輸入了網銀的帳號密碼，那麼就有可能導致網銀被盜。

據雷鋒網瞭解，研究人員在公佈成果之前，已經和各大流覽器廠商取得了聯繫，提醒防範可能存在的攻擊方式。

事實上，在此之前流覽器廠商也注意到了手機感測器可能帶來的安全隱患。火狐流覽器已經在2016四月發佈的版本更新中，就對流覽器中 JavaScript 腳本訪問運動和方向感測器進行了限制。蘋果也早在iOS 9.3 發佈時就對定位、螺旋儀等傳感資料進行了限制。但目前穀歌方面還未發佈任何說明，表明已經對該問題採取了相關措施。

最後在該安全報告中，研究人員建議使用者在不使用應用程式或流覽器的時候，儘量關閉它們，以防萬一。

via

threat post