很多人都给自己的手机设置个密码,为了这个密码,很多人开始研制了指纹、声音、虹膜等五花八门的解锁方式。但是这些高科技就不代表你的手机安全了。有研究表明,用户在输入手机密码时倾斜手机的角度,有可能会成为黑客猜出用户密码的途径。
近日,英国的《卫报》称,纽卡斯尔大学计算机系的一个科研组研究出一种可以破解用户手机密码的方法,并称这种方法猜中密码的概率高达70%。这种方法是通过获取用户智能手机的内置陀螺仪装置所收集信息,从而破解手机密码。
陀螺仪是什么?百科的解释是“它是一种用来传感与维持方向的装置,基于角动量守恒的理论设计出来的”,意思就是陀螺仪的作用在于测量和维持方向。把它加入到手机中是为了帮助了计算机重构空间上的动作模型。因为传统采用的加速度计只能检测轴向的线性动作,没办法测量重构完整的3D动作。
一般的信息泄露,是因为网站要求用户授权敏感信息,像是地理位置。当手机需要使用地理位置等敏感信息时,就会自动弹出窗口要求授权。而用户一旦授权,手机就可以读取用户的任何授权信息。这样在用户不知情的情况下,网站就获取了像是手持装置的方向等看似无害的信息,而这也是恶意网站获得用户信息的方式。而黑客就可以利用这些信息获取用户密码。
除了这类信息泄露,手机本身一些零部件也可能泄露用户信息。研究员表示,目前市面上的大部分智能手机、平板电脑和可穿戴设备都装有大量感应装置。有大家都熟知的GPS导航系统、摄像头和麦克风,还有些不熟悉的陀螺仪、旋转感应器和加速计,这些感应装置都可能成为黑客利用的工具。
在平时用户上网浏览网页时,网站要求用户授权获取使用地理位置信息、摄像头和麦克风等涉及到敏感信息功能。但手机倾斜角度、手机屏幕大小这类数据,一般不被认为是敏感信息,所以会被分享给所有发送共享请求的网站和应用。
而移动设备上大部分应用程序和网站,这些在用户使用时都不需要用户授权就可以获取隐私信息。这样很容易造成一些恶意程序,能够接触到来自各种感应装置的数据,并使用这些数据发现关于用户的敏感信息,比如通话时长、活动情况、甚至各种密码。
研究发现,大部分智能设备都配备,可能造成用户信息泄露的内置传感装置就有25种。用户的任何一种动作,像是点击翻页,长按短按,都会造成一种独特的倾斜角度和运动轨迹。所以通过这些传感装置,在一个已知的网页上,研究人员可以知道用户在点击页面的哪一部分以及他们在输入的内容。
那怎么办?研究课题组的成员表示,用户也不必太过担心。因为这种攻击所使用的方法存在很大技术屏障,足以限制其被用于日常生活。研究组成员称要达到70%的准确度,就需要足够的用户行为数据。
即使是获取一个简单的4位密码,都需要手机用户输入50组已知的密码。每组输入5次,经过大量重复练习,才能学习到用户握手机的习惯并将猜中密码的准确度提高到70%。而且由于目前行业里对于手机内置传感装置的使用方法各不相同,即使暴露出了安全漏洞,生产商也很难因为这个漏洞给出相应的应对策略。
针对这样的安全漏洞,研究组成员表示已经反馈给最大浏览器的供应商,不过目前还没有收到任何回应。