首页 滚动新闻 热点资讯

手机陀螺仪或泄致命信息 破解手机密码分分钟

2017-04-14 11:09 澎湃新闻 王歆悦

导语:玩了这么久的手机,你们知道手机陀螺仪或泄致命信息吗?看倾斜角度能猜出密码,不信你现在试试。 

手机陀螺仪或泄致命信息 你的手机密码很容易被猜中

有研究表明,黑客可以通过用户输入手机密码时倾斜手机的角度猜出用户密码。

英国当地时间4月11日,《卫报》报道称,纽卡斯尔大学的计算机科学家团队研究出一种可以猜出用户手机密码的方法:他们通过获取用户智能手机的内置陀螺仪装置所收集信息,首次尝试就能猜中密码的概率高达70%,尝试5次的命中率就达到了100%。

这种理论上的黑客行为主要利用了智能手机的一个漏洞,即移动端浏览器应用会要求手机与其分享数据。当手机使用地理位置等敏感信息时,会弹出窗口要求用户授权,用户一旦授权,网站就可以读取用户的任何授权信息。恶意网站也可以这样做,从而在用户不知情的情况下,获取看似无害的信息,如手持装置的方向等。

纽卡斯尔大学计算机科学院研究员Maryam Mehrnezhad教授称:“大部分智能手机、平板电脑和其他可穿戴设备如今都装有大量感应装置,从大家都熟知的GPS导航系统、摄像头和麦克风,到陀螺仪、旋转感应器和加速计。”

“但是由于移动设备上大部分应用程序和网站不需要用户授权,就可以获取隐私信息,恶意程序就能够接触到来自各种感应装置的数据,并使用这些数据发现关于用户的敏感信息,比如通话时长、活动情况、甚至各种密码。”Mehrnezhad解释道。

目前,网站在使用地理位置信息、摄像头和麦克风等功能时,都会要求用户授权,因为这些信息被视为敏感信息,但手机倾斜角度、手机屏幕大小这种数据一般不被认为是敏感信息,所以会被分享给所有发送共享请求的网站和应用。

但研究课题组成员表示,手机用户也不必太过担心黑客会用这种技术侵入其设备,因为这种攻击所使用的方法存在很大技术屏障,足以限制其被用于日常生活。

要达到前述70%的准确度,黑客需要对系统进行大量的“训练”,即提供足够的用户行为数据。即使是猜一个简单的4位密码,研究人员都需要手机用户输入50组已知的密码,每组输入5次,系统才能学习到用户握手机的习惯,并将猜中密码的准确度提高到70%。

由于目前行业里对于手机内置传感装置的使用方法不一而足,即使上述研究暴露除了安全漏洞,生产商也很难给出相应的应对策略。

该研究团队发现,大部分智能设备都配备,且可以被用来泄露用户信息的内置传感装置高达25种。而用户的任何一种动作,无论是点击、翻页还是长按、短按,都会造成一种独特的倾斜角度和运动轨迹,所以在一个已知的网页上,研究人员可以知道用户在点击页面的哪一部分以及他们在输入的内容。

该团队声称,已经针对此安全问题向最大浏览器提供商谷歌和苹果发出了警告,但至今没有得到回应。

知识科普

陀螺仪又叫角速度传感器,是不同于加速度计(G-sensor)的,他的测量物理量是偏转、倾斜时的转动角速度。在手机上,仅用加速度计没办法测量或重构出完整的3D动作,测不到转动的动作的,G-sensor只能检测轴向的线性动作。但陀螺仪则可以对转动、偏转的动作做很好的测量,这样就可以精确分析判断出使用者的实际动作。而后根据动作,可以对手机做相应的操作!

应用

1:动作感应的GUI:通过小幅度的倾斜,偏转手机,实现菜单,目录的选择和操作的执行。(比如前后倾斜手机,实现通讯录条目的上下滚动;左右倾斜手机,实现浏览页面的左右移动或者页面的放大或缩小。)

2:转动,轻轻晃动手机2-3下,实现电话接听或打开网页浏览器等。

3:拍照时的图像稳定,防止手的抖动对拍照质量的影响。在按下快门时,记录手的抖动动作,将手的抖动反馈给图像处理器,可以抓到更清晰稳定的图片

4:GPS的惯性导航:当汽车行驶到隧道或城市高大建筑物附近,没有GPS讯号时,可以通过陀螺仪来测量汽车的偏航或直线运动位移,从而继续导航。

5:通过动作感应控制游戏:这也是Steve重点介绍的,也是可以给APP开发者更多创新空间的地方。开发者可以通过陀螺仪对动作检测的结果(3D范围内手机的动作),去实现对游戏的操作。比如,把你的手机当作一个方向盘,你的手机屏幕上是一架飞行中的战斗机,只要你上下,左右地倾斜手机,飞机就可以做上下,左右的动作。

返回首页
相关新闻
返回顶部