黑客只需監視智能手機傳感器就可以竊取你的密碼

如今，普通的智能手機都配備了各種傳感器，比如GPS、攝像頭、麥克風、加速計、磁強計、接近度、陀螺儀、計步器和NFC等等。

現在，根據英國紐卡斯爾大學（Newcastle University）的一組科學家的說法，黑客可能會猜測PIN碼和密碼–；你可以在銀行網站、應用程序、鎖屏和#8211；通過監控手機的傳感器，比如你打字時手機的角度和運動，達到驚人的準確度。

這種危險源于惡意網站和應用程序在未獲得任何訪問權限的情況下訪問智能手機大部分內部傳感器的方式–；即使您通過HTTPS訪問安全網站以輸入密碼，也無所謂。

你的手機不會限制應用程序訪問傳感器數據

你的智能手機應用程序通常會請求你的許可，授予他們訪問GPS、攝像頭和麥克風等傳感器的權限。

但由于過去幾年移動游戲和健康健身應用的蓬勃發展，移動操作系統并沒有限制已安裝的應用程序訪問來自大量運動傳感器（如加速計、陀螺儀、NFC、運動和接近度）的數據。

任何惡意應用程序都可以將這些數據用于邪惡目的。格式錯誤的網站也是如此。

“大多數智能手機、平板電腦和其他可穿戴設備現在都配備了多種傳感器，從著名的GPS、攝像頭和麥克風，到陀螺儀、接近儀、NFC、旋轉傳感器和加速計等儀器，”該論文的首席研究員馬亞姆·梅爾內扎德博士在描述這項研究時說。

“但是，由于移動應用程序和網站不需要獲得訪問大多數應用程序和網站的許可，惡意程序可以秘密地‘監聽’你的傳感器數據，并使用它來發現關于你的各種敏感信息，例如電話通話時間、身體活動，甚至你的觸摸動作、PIN碼和密碼。”

襲擊的視頻演示

科學家甚至展示了一種可以在智能手機上記錄大約25個傳感器數據的攻擊。他們還提供了攻擊的視頻演示，展示了他們的惡意腳本如何從iOS設備收集傳感器數據。

該團隊編寫了一個惡意Javascript文件，能夠訪問這些傳感器并記錄其使用數據。這種惡意腳本可以在你不知情的情況下嵌入移動應用程序或加載到網站上。

現在，攻擊者只需誘使受害者安裝惡意應用程序或訪問流氓網站。

一旦完成此操作，無論受害者在其手機后臺運行惡意應用程序或網站時在其設備上鍵入什么，惡意腳本都將繼續訪問來自各種傳感器的數據，并記錄猜測PIN或密碼所需的信息，然后將其發送到攻擊者的服務器。

猜測PIN碼和密碼的準確度很高

根據從50臺設備記錄的數據，研究人員能夠在第一次嘗試時以74%的準確度猜出四位數的引腳，在第五次嘗試時以100%的準確度猜出四位數的引腳，只需使用從運動和方向傳感器收集的數據，無需任何特殊許可即可訪問。

科學家們甚至能夠使用收集到的數據來確定用戶在哪里點擊和滾動，他們在移動網頁上鍵入的內容，以及他們在網頁上點擊的部分。

研究人員表示，他們的研究只是為了提高人們對智能手機中幾個傳感器的認識，這些傳感器的應用程序可以在沒有任何許可的情況下訪問，而供應商尚未在其標準內置許可模型中加入任何限制。

“盡管存在非常真實的風險，但當我們詢問人們最關心的傳感器時，我們發現感知風險與理解之間存在直接關聯，”梅爾內扎德說。“因此，人們對攝像頭和GPS的關注遠遠超過了對無聲傳感器的關注。”

Mehrnezhad表示，該團隊已經向谷歌和蘋果等領先的瀏覽器供應商發出了風險警告，盡管包括Mozilla和Safari在內的一些供應商已經部分解決了這個問題，但該團隊仍在與業界合作，尋找理想的解決方案。