一位研究者最近公布了一種奇葩的破解手機(jī) PIN 碼手法，據(jù)稱有74%的概率可以判斷出用戶輸入的四位數(shù) PIN 碼—— 利用你的智能手機(jī)里的各種傳感器。

據(jù)雷鋒網(wǎng)了解，這位來自英國紐卡斯?fàn)柎髮W(xué)的研究人員制造了一種名叫“PINlogger.js”的程序腳本，它可以訪問手機(jī)中各種傳感器中的數(shù)據(jù)，包括 GPS定位 、攝像頭、麥克風(fēng)、重力感應(yīng)器、陀螺儀、磁力計(jì)、NFC感應(yīng)等等，各類手機(jī)傳感器通吃。

在攻擊演示中，用戶被引誘打開一個(gè)網(wǎng)頁。該網(wǎng)頁將自動(dòng)運(yùn)行這段程序腳本，通過網(wǎng)頁瀏覽器捕捉手機(jī)傳感器的數(shù)據(jù)。這個(gè)腳本的厲害之處在于，它不需要用戶授權(quán)網(wǎng)站或?yàn)g覽器程序采集相關(guān)數(shù)據(jù)，也就是說在不知不覺的情況下，用戶的數(shù)據(jù)就已經(jīng)被全部偷走。

研究人員在報(bào)告中寫道：

當(dāng)用戶通過 iframe 的形式（一種網(wǎng)頁標(biāo)簽形式）加載了網(wǎng)頁內(nèi)容，攻擊代碼就已經(jīng)開始監(jiān)聽用戶通過手機(jī)傳感器輸入的數(shù)據(jù)。

據(jù)雷鋒網(wǎng)了解，在上周公布的報(bào)告中，研究人員表示，基于手機(jī)瀏覽器內(nèi)的 JavaScript (腳本）攻擊完全可以對(duì)使用者造成安全威脅。不同于那些依賴手機(jī)應(yīng)用程序的攻擊方式，這種攻擊方式不需要受害者安裝任何程序，也不需要用戶授權(quán)。

在演示中，研究人員通過上述方式，首次嘗試就有74%的概率能獲取，如果用戶反復(fù)輸入，盜取密碼的成功率將在后兩次嘗試中上升到 86% 和 94%。研究人員說，這個(gè)概率取決于我們拿手機(jī)輸入密碼的方式：

• 有可能單手拿著，拇指輸入

• 有可能一只手拿著，另一只手輸入

• 可能雙手一起輸入
  

不過無論使用哪種方式，無論是滑動(dòng)輸入還是點(diǎn)擊輸入，都可以記錄下用戶的觸屏數(shù)據(jù)。

研究人員指出，大部分人只關(guān)心一些比較敏感的傳感器安全，比如攝像頭、GPS，其實(shí)一些不太明顯的傳感器也可能成為一種威脅。如果用戶打開了帶有這種惡意腳本的網(wǎng)頁沒有關(guān)閉，然后在手機(jī)上輸入了網(wǎng)銀的賬號(hào)密碼，那么就有可能導(dǎo)致網(wǎng)銀被盜。

據(jù)雷鋒網(wǎng)了解，研究人員在公布成果之前，已經(jīng)和各大瀏覽器廠商取得了聯(lián)系，提醒防范可能存在的攻擊方式。

事實(shí)上，在此之前瀏覽器廠商也注意到了手機(jī)傳感器可能帶來的安全隱患?；鸷鼮g覽器已經(jīng)在2016四月發(fā)布的版本更新中，就對(duì)瀏覽器中 JavaScript 腳本訪問運(yùn)動(dòng)和方向傳感器進(jìn)行了限制。蘋果也早在iOS 9.3 發(fā)布時(shí)就對(duì)定位、螺旋儀等傳感數(shù)據(jù)進(jìn)行了限制。但目前谷歌方面還未發(fā)布任何說明，表明已經(jīng)對(duì)該問題采取了相關(guān)措施。

最后在該安全報(bào)告中，研究人員建議用戶在不使用應(yīng)用程序或?yàn)g覽器的時(shí)候，盡量關(guān)閉它們，以防萬一。

via threat post

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。