有研究表明,黑客可以通過(guò)用戶(hù)輸入手機(jī)密碼時(shí)傾斜手機(jī)的角度猜出用戶(hù)密碼。
英國(guó)當(dāng)?shù)貢r(shí)間4月11日,《衛(wèi)報(bào)》報(bào)道稱(chēng),紐卡斯?fàn)柎髮W(xué)的計(jì)算機(jī)科學(xué)家團(tuán)隊(duì)研究出一種可以猜出用戶(hù)手機(jī)密碼的方法:他們通過(guò)獲取用戶(hù)智能手機(jī)的內(nèi)置陀螺儀裝置所收集信息,首次嘗試就能猜中密碼的概率高達(dá)70%,嘗試5次的命中率就達(dá)到了100%。
這種理論上的黑客行為主要利用了智能手機(jī)的一個(gè)漏洞,即移動(dòng)端瀏覽器應(yīng)用會(huì)要求手機(jī)與其分享數(shù)據(jù)。當(dāng)手機(jī)使用地理位置等敏感信息時(shí),會(huì)彈出窗口要求用戶(hù)授權(quán),用戶(hù)一旦授權(quán),網(wǎng)站就可以讀取用戶(hù)的任何授權(quán)信息。惡意網(wǎng)站也可以這樣做,從而在用戶(hù)不知情的情況下,獲取看似無(wú)害的信息,如手持裝置的方向等。
紐卡斯?fàn)柎髮W(xué)計(jì)算機(jī)科學(xué)院研究員Maryam Mehrnezhad教授稱(chēng):“大部分智能手機(jī)、平板電腦和其他可穿戴設(shè)備如今都裝有大量感應(yīng)裝置,從大家都熟知的GPS導(dǎo)航系統(tǒng)、攝像頭和麥克風(fēng),到陀螺儀、旋轉(zhuǎn)感應(yīng)器和加速計(jì)。”
“但是由于移動(dòng)設(shè)備上大部分應(yīng)用程序和網(wǎng)站不需要用戶(hù)授權(quán),就可以獲取隱私信息,惡意程序就能夠接觸到來(lái)自各種感應(yīng)裝置的數(shù)據(jù),并使用這些數(shù)據(jù)發(fā)現(xiàn)關(guān)于用戶(hù)的敏感信息,比如通話(huà)時(shí)長(zhǎng)、活動(dòng)情況、甚至各種密碼?!盡ehrnezhad解釋道。
目前,網(wǎng)站在使用地理位置信息、攝像頭和麥克風(fēng)等功能時(shí),都會(huì)要求用戶(hù)授權(quán),因?yàn)檫@些信息被視為敏感信息,但手機(jī)傾斜角度、手機(jī)屏幕大小這種數(shù)據(jù)一般不被認(rèn)為是敏感信息,所以會(huì)被分享給所有發(fā)送共享請(qǐng)求的網(wǎng)站和應(yīng)用。
但研究課題組成員表示,手機(jī)用戶(hù)也不必太過(guò)擔(dān)心黑客會(huì)用這種技術(shù)侵入其設(shè)備,因?yàn)檫@種攻擊所使用的方法存在很大技術(shù)屏障,足以限制其被用于日常生活。
要達(dá)到前述70%的準(zhǔn)確度,黑客需要對(duì)系統(tǒng)進(jìn)行大量的“訓(xùn)練”,即提供足夠的用戶(hù)行為數(shù)據(jù)。即使是猜一個(gè)簡(jiǎn)單的4位密碼,研究人員都需要手機(jī)用戶(hù)輸入50組已知的密碼,每組輸入5次,系統(tǒng)才能學(xué)習(xí)到用戶(hù)握手機(jī)的習(xí)慣,并將猜中密碼的準(zhǔn)確度提高到70%。
由于目前行業(yè)里對(duì)于手機(jī)內(nèi)置傳感裝置的使用方法不一而足,即使上述研究暴露除了安全漏洞,生產(chǎn)商也很難給出相應(yīng)的應(yīng)對(duì)策略。
該研究團(tuán)隊(duì)發(fā)現(xiàn),大部分智能設(shè)備都配備,且可以被用來(lái)泄露用戶(hù)信息的內(nèi)置傳感裝置高達(dá)25種。而用戶(hù)的任何一種動(dòng)作,無(wú)論是點(diǎn)擊、翻頁(yè)還是長(zhǎng)按、短按,都會(huì)造成一種獨(dú)特的傾斜角度和運(yùn)動(dòng)軌跡,所以在一個(gè)已知的網(wǎng)頁(yè)上,研究人員可以知道用戶(hù)在點(diǎn)擊頁(yè)面的哪一部分以及他們?cè)谳斎氲膬?nèi)容。
該團(tuán)隊(duì)聲稱(chēng),已經(jīng)針對(duì)此安全問(wèn)題向最大瀏覽器提供商谷歌和蘋(píng)果發(fā)出了警告,但至今沒(méi)有得到回應(yīng)。