通过手机传感器嗅探用户输入的密码 | 内附攻击视频

近期,研究人员发现了一种恶意JavaScript文件。这种恶意JS文件能够在用户毫不知情的情况下在网站或App中悄悄进行加载,当用户使用智能手机访问网站或App时,它就能够在后台通过各种手机传感器来访问并收集用户手机中的数据,攻击者将能够利用这些收集到的数据来破解用户的密码或PIN码。

这种新型攻击技术是由英国纽卡斯尔大学的一个安全研究团队发现的,研究人员表示,这种恶意脚本能够利用25种不同的传感器来收集数据,在对这些收集到的数据进行整合之后,攻击者将能够推断出目标用户在手机上所输入的内容。

并非所有的传感器都会受到操作系统权限的限制

这种攻击技术之所以能够存在,主要是因为某些应用程序不会受到手机操作系统的权限限制,例如Web浏览器,而像这样的App将能够访问手机所有的传感器数据。

根据目前智能手机内置的权限模型,当App需要访问例如GPS、照相机或麦克风这样的传感器时,手机会要求用户对相应操作赋权,但是当App访问手机的加速计、陀螺仪、NFC和重力感应器的数据时,手机并不会向用户发出权限请求。由于硬件成本不高,这些传感器正在成为现代智能手机的标配,但移动端操作系统更新升级的脚步却没有跟上,所以才导致了这一问题的出现。

攻击依赖于恶意JavaScript代码

为了验证这种攻击,研究人员编写了一个名叫PINlogger.js的JavaScript文件,这个文件能够访问这些不受系统权限控制的传感器,并从中获取传感器的使用日志等数据。

如果用户允许浏览器或者已被感染的App在手机后台运行的话,那么当用户在使用其他的App时,PINlogger.js脚本就会持续收集传感器数据。此时,用户在任何时候所输入的PIN码以及密码都会被PINlogger.js记录下来,而这些数据将会发送至攻击者所控制的服务器。由于手机中配备的传感器越来越多,所以攻击者可以收集到的数据量也就会更大,这也将导致攻击者破解用户输入内容的成功率就会更高。

该研究团队的Siamak Shahandashti博士表示:“这就好比是在玩拼图一样,你所得到的信息越多,你就能够越快拼出完整的图。”

攻击者猜测PIN码的准确率非常高

研究人员表示,他们所训练的人工智能网络可以仅仅通过监听手机运动和方向传感器的数据流(这种数据无需特殊的访问权限)来破解用户的密码。据了解,他们总共对50多台用户设备进行了测试,而在他们的首次测试中,四位数字PIN码的破解成功率竟高达74%。在对神经网络进行了进一步训练之后,第二次和第三次测试的成功率相应增长到了86%和94%。除此之外,研究人员也对破解算法进行了升级,现在已经能够处理字母和数字混合的密码了。

根据研究人员透露的信息,他们这项研究的目的是为了提高厂商和用户对智能手机传感器访问权限的关注度,因为目前的移动操作系统厂商还没有建立标准的权限控制模型来管理智能手机传感器的访问权限。

某些浏览器厂商已经修复了这个问题

该研究团队已经向多家浏览器厂商报告了这一问题。根据Mozilla公司的公告,火狐浏览器已经从v46版本开始限制JavaScript脚本访问手机的运动和方向传感器。除此之外,苹果公司也已经在iOS 9.3的Safari浏览器中采取了类似的限制措施。但需要注意的是,目前Chrome浏览器仍然存在这一问题。

对此,研究人员表示他们希望在将来能够看到厂商从系统层出发来解决这一问题,而不仅仅是在应用程序中设置相应的权限限制。

后话

关于这项研究的完整报告已经在国际信息安全杂志上发表了,感兴趣的同学可以查阅 http://link.springer.com/article/10.1007/s10207-017-0369-x

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-04-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏全华班

项目实施流程及规范

项目实施流程及规范主要包含: 1、项目实施管理规范(包含每个项目阶段的主要任务,工作流程,以及相关文档体系管理),落实形成项 。2、项目服务管理包含:项目服务(...

7706
来自专栏WeTest质量开放平台团队的专栏

你的APK安全吗?来WeTest免费测!

? 腾讯安全联合实验室就曾在《2018上半年互联网黑产研究报告》指出,移动端黑产规模宏大,恶意推广日均影响用户超过千万。 尤其在网络强相关的APP流行年代,当...

1423

云监控入门

原文作者:Angela Stringfellow

37611
来自专栏美团技术团队

美团外卖自动化业务运维系统——Alfred

背景 美团外卖业务在互联网行业是非常独特的,不仅流程复杂——从用户下单、商家接单到配送员接单、交付,而且压力和流量在午、晚高峰时段非常集中。同时,外卖业务的增长...

5838
来自专栏云计算D1net

如何构建一个更好的云安全模型

公共云的自助服务提供模式带来了许多好处,但当然也破坏了传统的IT服务器配置模式。现在,开发人员可以通过信用卡自行分配资源,企业安全团队也为他们的工作做了切实的工...

3808
来自专栏云计算D1net

采用存储即服务优化混合云平台

在混合云计算中,存储数据的位置对整体性能有重大影响。用户需要了解SaaS如何解决混合云数据管理和延迟问题。 通过云爆发的能力,混合云平台提供了巨大的计算灵活性。...

4035
来自专栏云计算D1net

公共云存储服务的可扩展性和性能

公共云存储服务供应商可帮助企业用户免于承担物理硬件及其相关成本的负担,其中包括能源、冷却以及服务器维护等。 很多企业都在使用公共云、私有云以及混合云这样的一个组...

3759
来自专栏Linyb极客之路

软件设计美学的几个要点

软件的总体设计美学: 1)简单:为了每个人的利益,找到最简单的问题形式。这适用于所有级别。简单意味着专注于一件事。这种关注于一件事的自然结果是紧凑性。您可以通过...

2142
来自专栏程序你好

设计一个成功的API程序的10条法则

早在上世纪90年代中后期,互联网是一个奇怪的、但不断增长的生态系统。企业意识到了这种潜力,一些企业实际上知道如何利用这种潜力。然而,人人都知道的一件事是,上网是...

722
来自专栏喔家ArchiSelf

智能家居系统的开源尝试

随着智能音箱的热卖,各种各样的智能家庭解决方案也如雨后春笋,但大多数都需要专业人员和熟练工作人员来安装/部署这些解决方案。此外,这些解决方案大多无法顺利融入已有...

1304

扫码关注云+社区

领取腾讯云代金券