黑客利用智能手机传感器破解PIN码

新加坡南洋理工大学(NTU Singapore)的研究人员在《Cryptology ePrint Archive》杂志上发表了一份论文,详细阐述了他们利用智能手机中的仪器(如加速度计、陀螺仪以及距离传感器等)成功破解智能手机PIN码的最新研究成果。

在解锁使用50个最常用PIN码之一的手机时,研究人员利用从智能手机中发现的6个不同传感器上收集的信息,以及最先进的机器学习和深度学习算法,只需要进行三次尝试就可以达到99.5%的精准率,成功解锁Android智能手机。

对于50个最常用的PIN码,之前达到的最佳破解成功率是74%,但是新加坡南洋理工大学的技术可以用来猜测四位PIN码的所有1万种可能的组合。

在新加坡南洋理工大学淡马锡实验室(Temasek Laboratories)高级研究科学家 Shivam Bhasin博士的领导下,研究人员使用智能手机中的传感器,根据手机如何倾斜以及多少光线被用户的拇指或者手指挡住,来分析用户按下的是哪个号码。

新加坡南洋理工大学博士Shivam Bhasin以及装有可以收集手机传感器数据app的手机

研究人员相信,他们的研究突出了智能手机安全方面的一个重大缺陷,因为使用智能手机中的传感器不需要用户进行任何授权许可,且公开提供给所有的应用程序访问。

操作是如何实现的?

研究团队使用Android手机,并安装了一个定制应用程序(界面如下图所示),采集来自6个传感器的数据,这些传感器包括:加速度计、陀螺仪、磁力计、距离传感器、气压计以及环境光传感器。

输入PIN码时的传感器监控app

Bhasin 博士解释说:“当你拿着你的手机并输入PIN码,你按1、5或9时手机的移动方式是大不相同的。同样地,用你的右手拇指按下1时会比按下9时遮挡住更多的光线。”据悉,Bhasin 博士与他的同事David Berend 先生以及Bernhard Jungk 博士已经共同研究该项目长达10个月的时间。

分类算法是通过从三个人处收集的数据训练得到的,每个人在手机上随机输入一组70个四位数字的PIN码。与此同时,它记录了相关的传感器反应。

以“深度学习”著称的分类算法能够根据每个传感器对于不同按键数字的敏感程度差异,为每个传感器赋予不同的重要性权重。这有助于消除那些被认为不重要的因素,并提高了PIN码检索的成功率。

当实验者输入0-8-5-2这几个PIN码两个传感器的不同记录(红、绿分别代表虚拟键盘被按下和松开)

尽管每个人在其手机上输入安全PIN码的方式不尽相同,但是科学家们却展示了,随着时间的推移,来自更多人的数据开始被反馈到算法中,如此一来,破解PIN码的成功率也就进一步实现了提升。

所以,虽然一个恶意应用程序无法在安装后立即使用机器学习来正确地猜测出每台设备的PIN码,但是随着时间推移,它可以从数以千计的用户那里收集越来越多的数据,以便更好地了解他们的PIN码输入模式,然后在成功率提高了以后再发起攻击。

新加坡南洋理工大学淡马锡实验室的主任 Gan Chee Lip教授表示,这项研究表明,看似具有强大安全性的设备也可能会遭受“边信道”攻击,因为传感器数据可能会被恶意应用程序滥用,以监视用户的行为,并帮助恶意行为者访问用户的PIN码和密码信息等等。

Gan 教授表示:“研究已经证实利用传感器存在泄漏密码的可能性,不过我们也担心对于手机传感器信息的访问有可能会泄露更多的用户行为。这对隐私安全而言是一个重大的发现,个人和企业都需要引起高度重视。” 同时,Bhasin 博士也表示,这对于移动手机操作系统未来限制对这六个传感器的访问具有建设意义,这样用户就可以主动选择仅为需要这些传感器且可信任的应用程序授予访问权限。

为了保持移动设备的安全性,Bhasin 博士建议用户使用超过四位数的PIN码,以及其他身份验证方法,例如一次性密码、双因素身份验证以及指纹或者面部识别等。

来源:安全牛

本文来自企鹅号 - 杭州市信息安全产业园媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯音视频实验室

现场报道 | SIGGRAPH Asia 2017 (DAY 1):AI让空间更智能

SIGGRAPH(Special Interest Group for Computer GRAPHICS)是计算机图形和交互方向的一个顶会,由于参加人数众多,...

3797
来自专栏机器人网

10款最适合初学者的机器人

机器人的需求每天都在增长,一同增长的还有机器人存在的意义。 个人、企业和工厂引进机器人的原因多种多样,越来越多的人以来科学技术,机器人的需求也随之增长。 因此...

4396
来自专栏腾讯大讲堂的专栏

一封来自微信用户的投诉信

微信iOS 6.2版本这两天更新后,小派听到一片欢呼。可是,今天小派竟然收到一封用户的投!诉!信!这怎么能忍!?赶紧拆开看看: ? 用户来信 亲爱的派, 你好。...

3289
来自专栏FreeBuf

老牌黑客Zoz:一百种销毁数据的方法,不如一个有安全意识的你自己

为期三天的 DEFCON CHINA 已经结束了,现场有很多有趣的人和事。本篇回顾将带大家了解一下那位留着莫西干发型、热情健谈,而且想法和行动都很不拘一格的老牌...

1154
来自专栏java一日一条

如果程序员是士兵,编程语言是武器,那么每种语言都是什么武器?

PHP 3是电锯。是面向致力于web app的士兵的第一批武器之一(甚至在“web spp”这个名词变得流行之前)。可以完成工作,但看起来很杂乱,幸运的是现在有...

1083
来自专栏编程微刊

一个女程序员的日常吐槽

忙了一个下午了,也不知道自己在忙着一些什么,善后一个外包公司的项目,他们开发好之后,也没有测试,也没有过多的优化,我打开小程序,把真个流程跑了一遍,然后再打开后...

1123
来自专栏机器人网

【基础知识】工业机器人分类、组成和特点

工业机器人是面向工业领域的多关节机械手或多自由度的机器装置,它能自动执行工作,是靠自身动力和控制能力来实现各种功能的一种机器。它可以接受人类指挥,也可以按照预先...

38710
来自专栏人工智能快报

机器人钻颅器可帮助医生快速、安全地完成手术

据美国犹他大学报道,在所有关于未来起机器起义的虚构描写中都有这样一种主题:因为我们已经教会机器人很多人类工作的方法,所以实际上就是创造了对我们的弱点无所不知的敌...

37510
来自专栏知晓程序

天啦噜!「共享床位」小程序出现了,你敢用吗?| 晓榜 #32

2017 年不知不觉就走到了最后一个季度,回头看看总有种虚度光阴的感觉。想要把浪费掉的时间补回来?这 4 款小程序,或许能让你充满动力。

1553
来自专栏机器人网

强生麻醉机器人SEDASYS在美上市销售

强生公司的子公司Ethicon Endo-Surgery开发了可以自动的帮助作结肠镜检查的健康病人镇静的计算机辅助设备SEDASYS,该设备负责管理处方药pro...

3055

扫码关注云+社区

领取腾讯云代金券