研究人員演示研究中用到的黑客攻擊手段
新加坡南洋理工大學的研究發現,黑客可以利用智能手機上的物理傳感器數據來猜測你的PIN密碼。智能手機中的加速度計、陀螺儀和近距離傳感器等工具均存在潛在的安全漏洞。該論文近日發表在開放性網絡雜志《Cryptology ePrint Archive》上。
在施旺·巴辛博士領導下,NTU淡馬錫實驗室的高級研究員從智能手機內各種傳感器中收集信息,然後利用最先進的機器學習和深度學習算法進行研究,最終達到僅用三次嘗試就能成功解鎖一台使用50個最常見PIN碼的安卓智能手機,准確率達99.5%。這項技術可以利用四位數字的全部1萬個組合檢索猜測。
在實驗中,他們給一台安卓手機安裝了一個自定義應用程序,用來收集手機的六個傳感器——加速度計、陀螺儀、磁強計、近距傳感器、氣壓計和環境光傳感器——中的數據。
當用戶按下不同的鍵時,手機移動的方式很不同,手指擋住的光線量也不同,六個傳感器會呈現不同的反應,據此可以模擬輸入的動作模式。分類算法還能根據敏感度爲傳感器分配權重,提高檢索成功率。
盡管每個人輸入PIN碼的方式不同,隨著時間的推移,越來越多人會被輸入到算法中。因此,盡管惡意應用可能最初無法立即猜出密碼,但借助機器學習機制,它可以收集成千上萬的用戶每人次使用自己的手機輸密碼的方式,了解他們的輸入模式後再發動攻擊後,成功率就高得多了。
這表明,看似安全性強的設備也可以遭到來自側面的攻擊,由于使用手機傳感器不需要授權,其數據可能被惡意應用程序來窺探用戶行爲模式,幫黑客竊取密碼信息,還可能泄露更多的用戶行爲,這對個人和企業都是個威脅。
巴辛博士說,手機操作系統將來最好限制對這六個傳感器的訪問,讓用戶能夠主動選擇授權給能夠信任的應用程序。
他還建議用戶使用四位以上密碼,並輔以其它認證方式,如一次性密碼,雙因素認證,指紋或面部識別等。
編譯:馥莉 編輯:張夢
原文鏈接:
https://www.eurekalert.org