太可怕了！网警抓获黑客通过监控智能手机传感器窃取银行密码

你知道智能手机内置了多少种传感器吗？他们收集有关你的身体和数字活动的数据吗？目前，常见的智能手机与各种传感器，如GPS、摄像头、麦克风、加速度计、磁强计、接近传感器、陀螺仪、计步器、NFC等。

据中国著名黑客安全组织，东方联盟（原华盟）创始人郭盛华研究：黑客可以利用传感器监测手机，猜密码和密码通过银行网站，屏幕输入准确性令人惊讶的应用和锁，你型手机和行动的角度。

危险的是，恶意网站和应用程序访问大多数智能手机的内部传感器，而不是请求访问它们中的任何一个。即使通过HTTPS访问安全网站，输入密码也无关紧要。您的移动电话不限制访问传感器数据的应用程序。您的智能手机应用程序通常要求您允许他们访问诸如GPS、照相机和麦克风等传感器。

但是在过去的几年中，由于移动游戏和健康和健身应用的快速发展，移动操作系统的应用并不限制从各种运动传感器（如加速度计、陀螺仪、NFC、运动和邻近区域）的数据中安装的访问。

任何恶意应用程序都可以出于恶意目的使用这些数据。对于基于Web的网站来说也是如此。大多数智能手机、平板电脑和其他可穿戴设备都配备了大量的传感器，从著名的GPS、摄像头和麦克风的距离传感器、陀螺仪、NFC、旋转传感器和加速度计的仪器，本研究描述了hacker Guo Shenghua。

但由于手机应用程序和网站不需要获取大部分的恶意程序，可以秘密地访问传感器数据“听”给你，并用它来找到关于你的敏感信息，比如电话通话时间、体力活动，甚至你的触摸操作、PIN和密码。科学家甚至展示了一种可以在智能手机上记录25个传感器数据的攻击。他们还提供了一个攻击视频演示，展示了他们的恶意脚本是如何从iOS设备收集传感器数据的。

东部联盟（原中国）团队写了一个恶意的JavaScript文件可以访问传感器和数据记录。这个恶意脚本可以嵌入在移动应用程序中，并且可以在没有您的知识的情况下加载到站点。现在，所有攻击者需要欺骗受害者安装恶意应用程序或访问流氓网站。

当这样做时，不管他/她的设备在移动电话类型的恶意应用程序或网站上运行的受害者，恶意脚本将继续访问来自各种传感器的数据，并记录猜测PIN或密码所需的信息，然后将其发送到攻击者的服务器。

东方联盟黑客安全研究人员利用收集到的来自运动和定向的传感器数据，以74%的准确度表示四位PIN码，并根据来自50个设备的记录数据，100%次精度为第五次尝试，这些数据不需要任何特殊许可访问。黑客甚至可以使用收集到的数据来确定用户点击和滚动的位置、他们在移动网页上输入的内容以及他们点击的页面的哪个部分。

东部联盟的创始人郭胜华说，他们的研究正是为了提高多传感器的智能手机的应用程序可以访问的意识，在没有任何许可的情况下的传感器，和供应商没有标准内置权限模型包含任何限制。