2017年4月13日左右您窒,來自英國紐卡斯爾大學的安全研究專家設計出了一種攻擊方法柄楼,這種方法將允許惡意攻擊者利用手機的傳感器數據來竊取手機用戶的PIN碼。
事情的經過:
2017年4月13日左右翻萨,來自英國紐卡斯爾大學的安全研究專家設計出了一種攻擊方法翅陪,這種方法將允許惡意攻擊者利用手機的傳感器數據來竊取手機用戶的PIN碼。研究人員表示俄蔗,這種方法在猜測四位數字PIN碼時的準確率可以達到74%钠台。
為此,研究人員還專門開發(fā)了一個名叫PINlogger.js的Javascript腳本杰笛,這個腳本能夠訪問手機傳感器所生成的數據,其中受影響的包括GPS切省、照相機最岗、麥克風帕胆、加速計、磁力計般渡、陀螺儀懒豹、計步器以及NFC等傳感器。
在這種攻擊場景之中驯用,攻擊者可以誘使用戶通過智能手機的網頁瀏覽器去訪問一個惡意Web頁面脸秽,而這個惡意網站將會運行PINlogger.js腳本,并在手機后臺通過Web瀏覽器來收集手機傳感器數據蝴乔。
用戶PIN碼泄漏的原因:
內因:
1. 人們對手機傳感器數據的安全意識不高记餐,絕大多數用戶關心的只有類似攝像頭和GPS這樣的常用傳感器,但是并不關心手機其他傳感器的安全問題薇正。比如攻擊者可以通過用戶點擊屏幕時手機的傾斜度片酝,來將這些傳感器數據為目標用戶建立一個觸摸模型,然后根據這個模型來推演出用戶的輸入數據挖腰;
2.Web瀏覽器或移動應用在訪問并收集傳感器數據時并不需要權限許可雕沿,這樣使得惡意應用可以在無需得到用戶許可的情況下訪問傳感器數據;而且基于瀏覽器的Javascript攻擊既不需要安裝任何的應用程序场时,也不需要申請用戶權限荡西。給用戶的數據造成了極大的威脅。
外因:
黑客可以通過這些漏洞輕易竊取用戶的數據而達到自己的目的强进。
事情造成的影響:
從Firefox瀏覽器v46版本開始舵翘,Mozilla已經限制Javascript訪問手機的運動和方向傳感器了。
而根據蘋果公司的安全公告椭肝,在iOS 9.3中茬蒿,當Web視圖隱藏時,系統(tǒng)會停用運動和方向數據玩困。
對于谷歌的Chrome瀏覽器來說附扭,目前還沒有相應的應對措施。
緩解方案:
1. 定期修改自己的PIN碼和賬號密碼脉鼻,并且及時關閉運行于手機后臺的應用程序叔寓。
2. 及時對自己的手機操作系統(tǒng)以及應用程序進行更新升級,而且不要從不受信任的第三方源獲取應用度姑,盡量只從官方應用商店獲取移動應用穷窃。
3.對于那些比較熟悉手機的用戶來說,可以對手機給應用的賦權情況進行手動檢查趁尼。
在我們的周圍總是在發(fā)生著信息泄露事件埃碱,如果我們自己平時不去留心這些事兒的話,那么總有一天我們的信息安全也將受到威脅酥泞,所以從現在起時時注意自己的信息安全吧砚殿!