黑客利用智能手机传感器窃取登录密码

新加坡南洋理工大学的研究人员开发了一种技术，利用手机传感器来猜测用户的PIN码。

研究人员使用自定义应用程序，将从智能手机的六种不同传感器里把收集到的信息组合到机器学习和深度学习算法中，以仅在三次的尝试中以99.5％的准确率解锁用户的手机。根据最近的一份报告显示，如果用户拥有50个最常用的PIN码，则只能尝试三次。

 

研究人员能够将所有10,000个PIN码组合分类，在单次用户设置下，20次尝试的成功率高达83.7％，这无疑是一个令人印象深刻的壮举。因为在之前使用最普遍的50个PIN码组合的电话破解记录报告中显示，这个比例只有74%。

 

该应用程序利用手机加速度计、陀螺仪、磁力计、接近传感器、气压计和环境光线传感器——传感器被描述为“零权限传感器”，因为他们目前不需要用户的批准，应用程序即可访问其数据。

 

然后将从传感器收集的信息与从三个测试对象收集到的数据进行匹配，每个测试对象在手机上随机输入70个四位数字PIN码。 虽然样本量很小，但是研究人员表示，他们的算法能提高成功率——因为它监视更多的用户输入他们的个人识别号码。使用这种方法，研究人员能够根据手机的倾斜方式以及拇指或手指阻挡光线的多少来识别哪些按钮被按下。

 

新加坡南洋理工大学高级研究科学家Shivam Bhasin博士在新闻发布会上表示：“当你拿着手机并输入密码时，按1，5或9键时，手机的移动方式就非常不同了。同样，用你的右手拇指按下1将能阻挡比按下9更多的光线。”

 

Bhasin博士建议移动操作系统限制对传感器的访问，以便用户可以主动选择仅授予需要访问传感器的应用程序的可信权限。在此之前，Bhasin博士建议用户使用超过四位数字的PIN码以及一次性密码，双因素身份验证和指纹或面部识别等其他身份验证方法。

 

新加坡南洋理工大学淡马锡实验室的主任 Gan Chee Lip教授表示，这项研究表明，看似具有强大安全性的设备也可能会遭受“边信道”攻击，因为传感器数据可能会被恶意应用程序滥用，以监视用户的行为，并帮助恶意行为者访问用户的PIN码和密码信息等等。

Gan 教授表示：“研究已经证实利用传感器存在泄漏密码的可能性，不过我们也担心对于手机传感器信息的访问有可能会泄露更多的用户行为。这对隐私安全而言是一个重大的发现，个人和企业都需要引起高度重视。” 同时，Bhasin 博士也表示，这对于移动手机操作系统未来限制对这六个传感器的访问具有建设意义，这样用户就可以主动选择仅为需要这些传感器且可信任的应用程序授予访问权限。

 

为了保持移动设备的安全性，Bhasin 博士建议用户使用超过四位数的PIN码，以及其他身份验证方法，例如一次性密码、双因素身份验证以及指纹或者面部识别等。