黑客利用智能手机传感器破解PIN码

新加坡南洋理工大学(NTU Singapore)的研究人员在《Cryptology ePrint Archive》杂志上发表了一份论文,详细阐述了他们利用智能手机中的仪器(如加速度计、陀螺仪以及距离传感器等)成功破解智能手机PIN码的最新研究成果。

在解锁使用50个最常用PIN码之一的手机时,研究人员利用从智能手机中发现的6个不同传感器上收集的信息,以及最先进的机器学习和深度学习算法,只需要进行三次尝试就可以达到99.5%的精准率,成功解锁Android智能手机。

对于50个最常用的PIN码,之前达到的最佳破解成功率是74%,但是新加坡南洋理工大学的技术可以用来猜测四位PIN码的所有1万种可能的组合。

在新加坡南洋理工大学淡马锡实验室(Temasek Laboratories)高级研究科学家 Shivam Bhasin博士的领导下,研究人员使用智能手机中的传感器,根据手机如何倾斜以及多少光线被用户的拇指或者手指挡住,来分析用户按下的是哪个号码。

新加坡南洋理工大学博士Shivam Bhasin以及装有可以收集手机传感器数据app的手机

研究人员相信,他们的研究突出了智能手机安全方面的一个重大缺陷,因为使用智能手机中的传感器不需要用户进行任何授权许可,且公开提供给所有的应用程序访问。

操作是如何实现的?

研究团队使用Android手机,并安装了一个定制应用程序(界面如下图所示),采集来自6个传感器的数据,这些传感器包括:加速度计、陀螺仪、磁力计、距离传感器、气压计以及环境光传感器。

输入PIN码时的传感器监控app

Bhasin 博士解释说:“当你拿着你的手机并输入PIN码,你按1、5或9时手机的移动方式是大不相同的。同样地,用你的右手拇指按下1时会比按下9时遮挡住更多的光线。”据悉,Bhasin 博士与他的同事David Berend 先生以及Bernhard Jungk 博士已经共同研究该项目长达10个月的时间。

分类算法是通过从三个人处收集的数据训练得到的,每个人在手机上随机输入一组70个四位数字的PIN码。与此同时,它记录了相关的传感器反应。

以“深度学习”著称的分类算法能够根据每个传感器对于不同按键数字的敏感程度差异,为每个传感器赋予不同的重要性权重。这有助于消除那些被认为不重要的因素,并提高了PIN码检索的成功率。

当实验者输入0-8-5-2这几个PIN码两个传感器的不同记录(红、绿分别代表虚拟键盘被按下和松开)

尽管每个人在其手机上输入安全PIN码的方式不尽相同,但是科学家们却展示了,随着时间的推移,来自更多人的数据开始被反馈到算法中,如此一来,破解PIN码的成功率也就进一步实现了提升。

所以,虽然一个恶意应用程序无法在安装后立即使用机器学习来正确地猜测出每台设备的PIN码,但是随着时间推移,它可以从数以千计的用户那里收集越来越多的数据,以便更好地了解他们的PIN码输入模式,然后在成功率提高了以后再发起攻击。

新加坡南洋理工大学淡马锡实验室的主任 Gan Chee Lip教授表示,这项研究表明,看似具有强大安全性的设备也可能会遭受“边信道”攻击,因为传感器数据可能会被恶意应用程序滥用,以监视用户的行为,并帮助恶意行为者访问用户的PIN码和密码信息等等。

Gan 教授表示:“研究已经证实利用传感器存在泄漏密码的可能性,不过我们也担心对于手机传感器信息的访问有可能会泄露更多的用户行为。这对隐私安全而言是一个重大的发现,个人和企业都需要引起高度重视。” 同时,Bhasin 博士也表示,这对于移动手机操作系统未来限制对这六个传感器的访问具有建设意义,这样用户就可以主动选择仅为需要这些传感器且可信任的应用程序授予访问权限。

为了保持移动设备的安全性,Bhasin 博士建议用户使用超过四位数的PIN码,以及其他身份验证方法,例如一次性密码、双因素身份验证以及指纹或者面部识别等。

来源:安全牛

本文来自企鹅号 - 杭州市信息安全产业园媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏人工智能头条

比特币、盗版、黑客技术:深度揭秘Sci-Hub背后的论文出版江湖

1912
来自专栏企鹅号快讯

黑客可以利用传感器数据来破解手机密码

南洋理工大学的Shivam Bhasin博士手持一个可以捕获传感器数据的定制软件。来源:图片由南洋理工大学提供 新加坡南洋理工大学(NTU Singapore)...

1707
来自专栏机器人网

库卡工业机器人新应用:考古

? 我们对机器人通常不是联想到高科技就是现代性的工作。这也是为什么看见机器人在进行古代的工作,运用在考古遗址找到的石器仿制品来刮兽皮,是很酷的事情。 德国新...

2564
来自专栏量子位

艾玛不哭!AI引起的“换脸”问题,AI正在解决

这个年,希望艾玛·沃森(Emma Watson)过得踏实。 之前我们报道过,纸醉金迷的资本主义网站Reddit最近搞出可怕黑技术:用AI技术,把爱情动作片中的主...

3384
来自专栏ATYUN订阅号

奥兰多市结束了亚马逊备受争议的面部识别项目

美国奥兰多市警察局已经结束了由亚马逊提供的面部识别项目测试,该项目受到提倡隐私保护者强烈反对。但其他执法机构表示,他们继续用它来解决犯罪问题。

1062
来自专栏腾讯大讲堂的专栏

微信启动页6年来首次“变脸”,背后有什么故事?

有没有发现,今天的微信有些特别?微信的启动页面,和平时不太一样? ? 现在至9月28日17时,用户打开微信,可以看到像上图一样动起来的微信启动页。 以前,映入眼...

2876
来自专栏大数据文摘

“被遗忘权”:大数据时代的隐私保护

27611
来自专栏ATYUN订阅号

AI系统Corti检测心脏病发作,准确率远超人类

目前Corti正大量部署中,这是一种在紧急电话呼叫期间检测心脏病发作的AI系统,它可能会进入欧洲一些大城市。

684
来自专栏机器人网

【拆解】情感机器人Pepper:设计很精巧 费用坑太深

? 上月中旬,阿里巴巴和富士康两大公司联手投资软银集团旗下机器人控股子公司(Soft Bank Robotics Holdings Corp,简称SBRH),...

4726
来自专栏量子位

机器人能力再进化,组装宜家椅子只需20分钟! | Science Robotics论文

组装耗时费力烧脑,让全球人民对宜家的家具呈现出爱恨两极的态度。对于手残党来说,自己组装一把椅子,还不如……

872

扫码关注云+社区