你知道智能手機內置了多少種傳感器嗎?他們收集關於您的物理和數字活動的數據?目前,普通智能手機充斥着各種各樣的傳感器,如GPS,相機,麥克風,加速計,磁力計,接近傳感器,陀螺儀,計步器和NFC等等。
據中國知名黑客安全組織,東方聯盟(原華盟)創始人郭盛華研究:黑客可以通過監測手機的傳感器,猜測密碼和密碼-通過銀行網站,應用程序和鎖屏-輸入令人驚訝的准確度,就像您在打字時手機的角度和動作一樣。
危險源於惡意網站和應用訪問大多數智能手機內部傳感器的方式,而不請求訪問它們的任何權限-即使您通過HTTPS訪問安全的網站以輸入密碼也無關緊要。您的手機不會限制訪問傳感器數據的應用程序。您的智能手機應用程序通常會要求您授予他們訪問GPS,相機和麥克風等傳感器的權限。
但由於過去幾年移動游戲和健康與健身應用的蓬勃發展,移動操作系統不會限制已安裝的應用訪問來自多種運動傳感器(如加速計,陀螺儀,NFC,運動和鄰近區域)的數據。
任何惡意應用程序都可以將這些數據用於惡意目的。對於格式錯誤的網站也是如此。“大多數智能手機,平板電腦和其他可穿戴設備現在都配備了眾多傳感器,從知名的GPS,相機和麥克風到陀螺儀,距離感應,NFC,旋轉傳感器和加速度計等儀器,”黑客郭盛華描述這項研究。
“但是由於移動應用程序和網站不需要獲得訪問其中大部分的權限,惡意程序就可以秘密地”偵聽“您的傳感器數據,並使用它來發現關於您的各種敏感信息,例如電話呼叫時間,身體活動,甚至是您的觸摸操作,PIN和密碼。“科學家甚至已經展示了一種可以記錄智能手機中25個傳感器數據的攻擊。他們還提供了攻擊視頻演示,展示了他們的惡意腳本如何從iOS設備收集傳感器數據。
東方聯盟(原華盟)團隊編寫了一個惡意的Javascript文件,能夠訪問這些傳感器並記錄其使用數據。這種惡意腳本可以嵌入到移動應用程序中,也可以在您不知情的情況下加載到網站上。現在,所有攻擊者需要欺騙受害者進入安裝惡意應用程序或訪問流氓網站。
完成此操作后,無論受害者在他/她的設備上鍵入惡意應用程序或網站在手機背景中運行,惡意腳本都將繼續訪問來自各種傳感器的數據並記錄猜測PIN或密碼所需的信息,以及然后將其發送給攻擊者的服務器。
東方聯盟黑客安全研究人員通過使用從運動和方位傳感器收集的數據,能夠以74%的准確度猜測四位數字的PIN碼,並根據從50個設備記錄的數據以100%的准確度進行第五次嘗試,這些數據不需要任何特殊權限訪問。黑客甚至能夠使用收集的數據來確定用戶在哪里點擊和滾動,他們在移動網頁上輸入的內容以及他們點擊的頁面的哪一部分。
東方聯盟創始人郭盛華表示,他們的研究只不過是為了提高人們對智能手機中幾款傳感器的認識,應用程序可以在沒有任何許可的情況下訪問這些傳感器,並且供應商尚未在其標准內置權限模型中包含任何限制。