▲图说:研究人员演示研究中用到的黑客攻击手段
新加坡南洋理工大学的研究发现,黑客可以利用智能手机上的物理传感器数据来猜测你的PIN密码。智能手机中的加速度计、陀螺仪和近距离传感器等工具均存在潜在的安全漏洞。该论文近日发表在开放性网络杂志《Cryptology ePrint Archive》上。
在施旺·巴辛博士领导下,NTU淡马锡实验室的高级研究员从智能手机内各种传感器中收集信息,然后利用最先进的机器学习和深度学习算法进行研究,最终达到仅用三次尝试就能成功解锁一台使用50个最常见PIN码的安卓智能手机,准确率达99.5%。这项技术可以利用四位数字的全部1万个组合检索猜测。
在实验中,他们给一台安卓手机安装了一个自定义应用程序,用来收集手机的六个传感器——加速度计、陀螺仪、磁强计、近距传感器、气压计和环境光传感器——中的数据。
当用户按下不同的键时,手机移动的方式很不同,手指挡住的光线量也不同,六个传感器会呈现不同的反应,据此可以模拟输入的动作模式。分类算法还能根据敏感度为传感器分配权重,提高检索成功率。
尽管每个人输入PIN码的方式不同,随着时间的推移,越来越多人会被输入到算法中。因此,尽管恶意应用可能最初无法立即猜出密码,但借助机器学习机制,它可以收集成千上万的用户每人次使用自己的手机输密码的方式,了解他们的输入模式后再发动攻击后,成功率就高得多了。
这表明,看似安全性强的设备也可以遭到来自侧面的攻击,由于使用手机传感器不需要授权,其数据可能被恶意应用程序来窥探用户行为模式,帮黑客窃取密码信息,还可能泄露更多的用户行为,这对个人和企业都是个威胁。
巴辛博士说,手机操作系统将来最好限制对这六个传感器的访问,让用户能够主动选择授权给能够信任的应用程序。
他还建议用户使用四位以上密码,并辅以其它认证方式,如一次性密码,双因素认证,指纹或面部识别等。
科界原创
编译:馥莉 审稿:三水 编辑:张梦