智能制造網(wǎng)APP
智能制造網(wǎng)手機站
智能制造網(wǎng)小程序
智能制造網(wǎng)官微
智能制造網(wǎng)服務(wù)號
智能控制
機器人
儀器儀表
物聯(lián)網(wǎng)
3D打印
工業(yè)軟件
回放
品牌
CINCON
智能手機時代 傳感器或變身黑客幫手
手機傳感器嗅探用戶密碼
這種惡意JS文件能夠在用戶毫不知情的情況下在網(wǎng)站或App中悄悄進(jìn)行加載,當(dāng)用戶使用智能手機訪問網(wǎng)站或App時,它就能夠在后臺通過各種手機傳感器來訪問并收集用戶手機中的數(shù)據(jù),攻擊者將能夠利用這些收集到的數(shù)據(jù)來破解用戶的密碼或PIN碼。研究人員表示,這種惡意腳本能夠利用25種不同的傳感器來收集數(shù)據(jù),在對這些收集到的數(shù)據(jù)進(jìn)行整合之后,攻擊者將能夠推斷出目標(biāo)用戶在手機上所輸入的內(nèi)容。
根據(jù)Mozilla公司的公告,火狐瀏覽器已經(jīng)從v46版本開始限制JavaScript腳本訪問手機的運動和方向傳感器。除此之外,蘋果公司也已經(jīng)在iOS 9.3的Safari瀏覽器中采取了類似的限制措施。但需要注意的是,目前Chrome瀏覽器仍然存在這一問題。
這種攻擊技術(shù)之所以能夠存在,主要是因為某些應(yīng)用程序不會受到手機操作系統(tǒng)的權(quán)限限制,例如Web瀏覽器,而像這樣的App將能夠訪問手機所有的傳感器數(shù)據(jù)。根據(jù)目前智能手機內(nèi)置的權(quán)限模型,當(dāng)App需要訪問例如GPS、照相機或麥克風(fēng)這樣的傳感器時,手機會要求用戶對相應(yīng)操作賦權(quán),但是當(dāng)App訪問手機的加速計、陀螺儀、NFC和重力感應(yīng)器的數(shù)據(jù)時,手機并不會向用戶發(fā)出權(quán)限請求。
由于硬件成本不高,這些傳感器正在成為現(xiàn)代智能手機的標(biāo)配,但移動端操作系統(tǒng)更新升級的腳步卻沒有跟上,所以才導(dǎo)致了這一問題的出現(xiàn)。為了驗證這種攻擊,研究人員編寫了一個名叫PINlogger.js的JavaScript文件,這個文件能夠訪問這些不受系統(tǒng)權(quán)限控制的傳感器,并從中獲取傳感器的使用日志等數(shù)據(jù)。
如果用戶允許瀏覽器或者已被感染的App在手機后臺運行的話,那么當(dāng)用戶在使用其他的App時,PINlogger.js腳本就會持續(xù)收集傳感器數(shù)據(jù)。此時,用戶在任何時候所輸入的PIN碼以及密碼都會被PINlogger.js記錄下來,而這些數(shù)據(jù)將會發(fā)送至攻擊者所控制的服務(wù)器。由于手機中配備的傳感器越來越多,所以攻擊者可以收集到的數(shù)據(jù)量也就會更大,這也將導(dǎo)致攻擊者破解用戶輸入內(nèi)容的成功率就會更高。
該研究團隊的Siamak Shahandashti博士表示:“這就好比是在玩拼圖一樣,你所得到的信息越多,你就能夠越快拼出完整的圖。”研究人員還表示,他們所訓(xùn)練的人工智能網(wǎng)絡(luò)可以僅僅通過監(jiān)聽手機運動和方向傳感器的數(shù)據(jù)流(這種數(shù)據(jù)無需特殊的訪問權(quán)限)來破解用戶的密碼。據(jù)了解,他們總共對50多臺用戶設(shè)備進(jìn)行了測試,而在他們的測試中,四位數(shù)字PIN碼的破解成功率竟高達(dá)74%。在對神經(jīng)網(wǎng)絡(luò)進(jìn)行了進(jìn)一步訓(xùn)練之后,第二次和第三次測試的成功率相應(yīng)增長到了86%和94%。除此之外,研究人員也對破解算法進(jìn)行了升級,現(xiàn)在已經(jīng)能夠處理字母和數(shù)字混合的密碼了。
根據(jù)研究人員透露的信息,他們這項研究的目的是為了提高廠商和用戶對智能手機傳感器訪問權(quán)限的關(guān)注度,因為目前的移動操作系統(tǒng)廠商還沒有建立標(biāo)準(zhǔn)的權(quán)限控制模型來管理智能手機傳感器的訪問權(quán)限。
手機傳感器的職責(zé)所在
智能手機在智能的道路上越走越遠(yuǎn),我們平日里用手機解決大部分的問題,上網(wǎng)、游戲、導(dǎo)航、支付等等,從中受益頗多。那么這些傳感器都肩負(fù)那些職責(zé)呢?
距離傳感器
距離傳感器通常安放在手機聽筒旁邊,用來檢測手機正面與其他物體的距離。如果距離達(dá)到一個閾值,就會自動關(guān)閉屏幕,一則省電,二則防止手機觸摸屏被誤操作。
通常距離傳感器在手機上會應(yīng)用于兩個方面,一是打電話時,手機接近頭部就會自動滅屏,以防止耳朵或臉對觸摸屏進(jìn)行了誤操作,而且通話中關(guān)閉屏幕也可以省電,手機從耳邊拿開又會自動亮屏;二是防止手機在口袋或包包里屏幕亮起出現(xiàn)誤操作現(xiàn)象,距離傳感器感應(yīng)到近距離有物體,就會通知手機自動關(guān)閉屏幕。
光線傳感器
智能手機通常都有這樣一項設(shè)置--自動亮度調(diào)節(jié),打開后手機會根據(jù)周圍光線的強弱自動調(diào)節(jié)手機屏幕亮度。在陽光明媚的室外,屏幕亮度會自動變大幫人在強光下看清屏幕;在昏暗的晚上,屏幕亮度就會自動變小,減少光線對眼睛的刺激,也可以順便省個電。光線傳感器就是用來感受周圍光線強弱以實現(xiàn)手機屏幕亮度的自動調(diào)節(jié)的。光線傳感器和距離傳感器很多時候會集成在一個位置,可以減少前面板的開洞,設(shè)計上更好看。
電子羅盤
說到羅盤,我們就會想到指南針,而電子羅盤,就是在手機中起指南針作用的。電子羅盤是利用地磁原理工作的,手機中的指南針不需要GPS也不需要網(wǎng)絡(luò)就可以指方向,它就是依靠電子羅盤來辨別方向的。而電子羅盤更實際的用處,是在地圖導(dǎo)航上面。當(dāng)你打開地圖軟件,通過GPS定位后會發(fā)現(xiàn)有一個小箭頭,箭頭會在你移動的過程中指向移動的方向,這個可以直接感應(yīng)方向的小箭頭就是電子羅盤控制的。有些手機沒有電子羅盤,定位后只會出現(xiàn)一個圓點,而沒有箭頭指方向。
重力傳感器
重力傳感器是用來檢測手機搖動、晃動、翻轉(zhuǎn)等動作的,比如當(dāng)手機豎拿轉(zhuǎn)為橫拿,被重力感應(yīng)器檢測到,然后指示屏幕從豎屏顯示變?yōu)闄M屏顯示。重力傳感器常被應(yīng)用于游戲上,有些賽車類游戲需要左右擺動手機來轉(zhuǎn)彎;有些過關(guān)類游戲需要晃動手機來使房頂上的鑰匙掉到地上,等等,這些都是依靠手機的重力傳感器來完成了。當(dāng)然如今為廣大人民熟知的一個依靠重力傳感器來實現(xiàn)的動作就是微信搖一搖!
VR技術(shù)日臻成熟,而對搭配VR設(shè)備使用的手機不可或缺的功能就是重力感應(yīng),在帶上VR眼鏡后,四面八方都有布景,要轉(zhuǎn)動身體來感受這個立體的世界,如果手機不支持重力感應(yīng)的話,那么不管你怎么轉(zhuǎn)畫面恐怕也不會有變化的。
浙公網(wǎng)安備 33010602000006號
智能制造網(wǎng)APP
智能制造網(wǎng)小程序
微信公眾號
