恶意程序通过传感器数据猜到你密码:指纹失效

这项研究背后的三个科学家只是最近的一批研究人员,此前有其他人做过其他的研究,这次的研究者们注意到在Android和iOS等现代移动操作系统的设计中出现了明显的安全漏洞。研究人员表示,这些操作系统不需要应用程序在访问传感器数据之前向用户请求权限。

传感器为每个按键提供了独特的数据指纹

为了证明他们的观点,研究人员创建了一个 App,安装在了安卓测试机上,该应用程序能静默收集来自六种传感器中的数据,它们分别是:加速计、陀螺仪、磁力计、近距离传感器(使用红外线进行近距离测距的传感器)和环境光传感器。

当用户用手指在触摸屏上输入PIN码并解锁手机时,研究人员能人工智能算法分析传感器数据,包括手机的倾斜状态(空间和角度相关坐标)、附近的环境光,来区分不同按键上的按压,从而推断出 PIN码。

图 / App 的程序布局(来自研究团队论文 There Goes Your PIN: Exploiting Smartphone SensorFusion Under Single and Cross User Setting )

在他们的实验中,研究小组仅使用了三个人提供的500个随机输入PIN码操作的传感器数据,这意味着当数据更多时算法会更准确。

研究团队表示,根据他们掌握的样本,使用 50个最常见的 PIN 码时,算法已能够以 99.5% 的准确率在第一次尝试时就猜中PIN。之前的研究同样使用 50 个最常见的PIN码,但是准确率仅为 74%。

当研究团队试图在 20 次尝试范围内,猜中全部 10000 个可能的四位 PIN 码组合时,成功率由 99.5% 下降到83.7%。研究人员表示,采用这种技术可以很容易地破解更长的 PIN 码。

以往研究证明问题很严重

南洋理工大学的研究团队强调,真正的问题在于应用程序不需要事先询问用户是否同意,便能直接访问传感器的数据。Android 和 IOS都会受到这个问题的影响。这个设计缺陷可能会被武器化,并被用来窃取更多的密码。

在他们发布论文之前,有些研究就已经在进行了。

例如在今年九月,普林斯顿大学的研究人员悄悄从手机传感器收集数据,成功推断出用户的地理位置,而无需用户的 GPS 数据。

而在今年 4 月,英国纽卡斯尔大学的科学家创建了一个 JavaScript文件,这个文件可以被嵌入到网页或恶意应用程序中,可以静静地记录手机传感器数据,使攻击者能够推断出用户在其设备上输入的内容。

研究人员希望这个问题能在系统层面解决,而不是在应用层面。随着这方面的研究越来越多,苹果和谷歌应该对用户传感器进行控制,以便在用户安装的 App访问传感器数据时进行更安全的限制。

编辑:齐少恒

本文来自企鹅号 - 华商网媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏机器人网

先进传感技术简化机器人设计制造过程

过去,机器人制造是一个非常困难、容易出错且耗时的过程,因为采用由分立元件构成的装置实现对环境的感应,而这些装置中很多部件都不能有效地协同工作,处理器缺乏足够的能...

37560
来自专栏奇点大数据

资源!吴恩达视频文字版及笔记整理

不过,这种视频在线课程也有其弊端,就跟很多人不喜欢微信语音一样,想要在视频中查找和回顾相关的知识点并不方便。

18310
来自专栏互联网数据官iCDO

【精华知识】初学者的高级谷歌分析指南-Episode 4

主编前言: 这篇文章我们请朱玉雪帮我们翻译自Avinash Kaushik先生的文章。了解Avinash Kaushik先生的朋友不对他的行文风格不会陌生——内...

35060
来自专栏Jerry的SAP技术分享

SAP成都研究院飞机哥: SAP C4C中国本地化之微信聊天机器人的集成

今天的文章仍然来自Jerry的老同事,SAP成都研究院的张航(Zhang Harry)。关于他的背景介绍,请参考张航之前的文章:SAP成都研究院飞机哥:程序猿和...

15200
来自专栏AI科技大本营的专栏

新年第一天 | 恶补新一季《黑镜》的同时,营长又深入扒了扒它那擅长机器学习的新爸爸是如何赚钱的

关注『AI科技大本营』的各位小伙伴,新年好!营长祝愿大家天天都是18岁! 跟放假休息的各位一样,元旦假期的营长着实也不想干活……想起前两天刚刚更新的《黑镜》第四...

391110
来自专栏VRPinea

谷歌Poly发布新API,开发者将可在VR中寻找3D资源

29060
来自专栏TEG云端专业号的专栏

何维兵:大型DCI网络智能运营实践

做运营的同学,都有同样的感受,既希望被老板关注,又不希望被老板关注!因为觉得被老板关注时,常常是没什么好事发生。记得微信红包兴起时,有一次我们网络运营就有幸得到...

44830
来自专栏华章科技

如何在三年内快速成长为一名技术专家

工作前三年是职业生涯中成长最快的几年,在这段时间里你会充满激情,做事专注,也容易养成良好的习惯。在我们公司有些同学在前三年中就快速成为某一个领域的技术专家,有些...

9320
来自专栏互联网数据官iCDO

109个提高App下载量的营销策略(上)

引言:本文介绍了如何提高APP下载量的109个适用的营销策略中的前36个策略,本系列全长共109个策略。

31250
来自专栏人工智能头条

感动!有人将吴恩达的视频课程做成了文字版

3.4K30

扫码关注云+社区

领取腾讯云代金券