تست عنوان
close

英国科学家用陀螺仪数据,竟成功破译了手机 PIN 码

日期:MAY 3, 2017

访问:394

英国新堡大学(Newcastle University )的研究人员在《国际资讯安全杂志》( International Journal of Information security)发布了论文,其中示范了手机的陀螺仪──追踪手腕旋转和方向的感测器,可以用来高精准度地猜出一组四位数的 PIN 码。在一次测试中,该团队以 70% 的准确率破解了密码,连续测到第 5 次时,准确率高达 100%。

英国新堡大学(Newcastle University )的研究人员在《国际资讯安全杂志》( International Journal of Information security)发布了论文,其中示范了手机的陀螺仪──追踪手腕旋转和方向的感测器,可以用来高精准度地猜出一组四位数的 PIN 码。在一次测试中,该团队以 70% 的准确率破解了密码,连续测到第 5 次时,准确率高达 100%

当然,要破解 PIN 码,还是需要把大量的数据喂给程序的类神经网络。英国卫报(The Guardian )指出,使用者必须先键入 50 个已知的 PIN 码,然后研究人员的演算法才能够辨识出来。该演算法的原理是使用者按屏幕某个区域上的数字按钮时,会造成手机特定微小的晃动与角度变化。而要辨识出来,其实也不简单,毕竟每个人的手劲、动作习惯都不同,因此要对程序好好“训练”一番,程序才猜得出来使用者输入了什么。但是,这明确地突显出恶意程序的危险性,因为要存取陀螺仪感测器数据不需要取得手机使用者的许可。

论文的主作者 Maryam Mehrenzhad 博士,是新堡大学电脑科学学院研究员,他表示说:“大多数智能手机、平板电脑与其他穿戴设备现在都配备了大量的感测器,但由于 App 和网站不需要征询使用者的许可,就可以取用这些感测器的数据,恶意程序有可能隐藏其‘监听’感测器数据的企图。”

该团队确定了总共有 25 款不同的智能手机,其感测器可能会因此泄露使用者操作手机时的感测器数据。更糟糕的是,只有少数感测器的使用行为(例如相机和 GPS),会在安装 App 时征询使用者的许可。

这让人感到非常毛骨悚然,单单使用“方向”和“动作追踪”的数据,不只是 PIN 码,滑动、点击、不同的握持法(一只手用拇指滑,或者一只手拿手机,另一只手滑屏幕)等,都会产生特定的感测资料(是的,你手腕的摇晃,会留下蛛丝马迹),因此研究人员甚至可以监测到使用者在一个网页上做了哪些操作?打了什么字?要完整监控一个人使用手机的行为,不是难事。

该学院的高级研究员兼本研究的成员的 Siamak Shahandashti 博士表示:“这有点像一个拼图,你放上越多的缺片,就越容易洞见完整的图片。” Mehrenzhad 表示,该团队已经向领先的浏览器开发团队提醒了这个问题,Mozilla  Safari 都已经做出了修正。但她表示,研究人员仍在与业界合作,寻找更好的解决方案。

Mehrenzhad 说:“我们对生产最新功能,拥有优秀使用者体验的厂商提出呼吁,目前整个行业的感测器没有统一的管理方式,这对大家的个人安全真的造成了威胁”。

要如何保护自己

试想这样的情境,如果有不法份子做了这一类的恶意 App 常驻在手机后台 ,它诱发你输入大量的文字或者特定的操作(这样的 App 可能需要做成聊天室型态),“协助训练”它,直到它能“破译”出你的大量操作行为以后,只要掌握到“你什么时间打算去哪里?怎么去?身上是否有高价值的东西?”坏人就可以在半路上拦截你,做出实体犯罪行为。

这是一个很真实的可能性,Mehrenzhad 博士建议以下这些保护自己的方法:

经常更改 PIN 码与密码,让恶意网站或程序难以辨识你的“手触”习惯模式。

关闭后台应用程序,当你不使用它们时,就加以卸载。

保持你手机的操作系统与应用程序是最新版。

只从有信誉的 App 商店安装程序。

认真审核自己手机上应用程序的权限。

安装应用程序之前,请仔细检查应用程序的权限,如果发现有敏感的感测器使用请求,应该适当变更。

Mehrenzhad 说:“这是可用性和安全性之间的战斗。”虽然有点不方便,但可以保障你的人身安全。笔者也分享一个小技巧,三不五时把自己的手机借给可信赖的朋友操作,也是一个方法,因为两个人的触控习惯不同,混淆进一堆不一样的触控习惯数据,这会增加坏人的程序“破解”出你操作行为的难度。

下一部 007 或者其他谍报电影搞不好就会应用这样的梗,抓到对手的情报员呢!所以自己的人身安全要延伸到手机、平板电脑等连网触控设备上,好的使用习惯,才能杜绝坏人窥视你的可能性。

 

资源: 科技新报网