你知道智能手机内置了多少种传感器吗?他们收集关于您的物理和数字活动的数据?目前,普通智能手机充斥着各种各样的传感器,如GPS,相机,麦克风,加速计,磁力计,接近传感器,陀螺仪,计步器和NFC等等。
据中国知名黑客安全组织,东方联盟(原华盟)创始人郭盛华研究:黑客可以通过监测手机的传感器,猜测密码和密码-通过银行网站,应用程序和锁屏-输入令人惊讶的准确度,就像您在打字时手机的角度和动作一样。
危险源于恶意网站和应用访问大多数智能手机内部传感器的方式,而不请求访问它们的任何权限-即使您通过HTTPS访问安全的网站以输入密码也无关紧要。您的手机不会限制访问传感器数据的应用程序。您的智能手机应用程序通常会要求您授予他们访问GPS,相机和麦克风等传感器的权限。
但由于过去几年移动游戏和健康与健身应用的蓬勃发展,移动操作系统不会限制已安装的应用访问来自多种运动传感器(如加速计,陀螺仪,NFC,运动和邻近区域)的数据。
任何恶意应用程序都可以将这些数据用于恶意目的。对于格式错误的网站也是如此。“大多数智能手机,平板电脑和其他可穿戴设备现在都配备了众多传感器,从知名的GPS,相机和麦克风到陀螺仪,距离感应,NFC,旋转传感器和加速度计等仪器,”黑客郭盛华描述这项研究。
“但是由于移动应用程序和网站不需要获得访问其中大部分的权限,恶意程序就可以秘密地”侦听“您的传感器数据,并使用它来发现关于您的各种敏感信息,例如电话呼叫时间,身体活动,甚至是您的触摸操作,PIN和密码。“科学家甚至已经展示了一种可以记录智能手机中25个传感器数据的攻击。他们还提供了攻击视频演示,展示了他们的恶意脚本如何从iOS设备收集传感器数据。
东方联盟(原华盟)团队编写了一个恶意的Javascript文件,能够访问这些传感器并记录其使用数据。这种恶意脚本可以嵌入到移动应用程序中,也可以在您不知情的情况下加载到网站上。现在,所有攻击者需要欺骗受害者进入安装恶意应用程序或访问流氓网站。
完成此操作后,无论受害者在他/她的设备上键入恶意应用程序或网站在手机背景中运行,恶意脚本都将继续访问来自各种传感器的数据并记录猜测PIN或密码所需的信息,以及然后将其发送给攻击者的服务器。
东方联盟黑客安全研究人员通过使用从运动和方位传感器收集的数据,能够以74%的准确度猜测四位数字的PIN码,并根据从50个设备记录的数据以100%的准确度进行第五次尝试,这些数据不需要任何特殊权限访问。黑客甚至能够使用收集的数据来确定用户在哪里点击和滚动,他们在移动网页上输入的内容以及他们点击的页面的哪一部分。
东方联盟创始人郭盛华表示,他们的研究只不过是为了提高人们对智能手机中几款传感器的认识,应用程序可以在没有任何许可的情况下访问这些传感器,并且供应商尚未在其标准内置权限模型中包含任何限制。