黑基网 首页 学院 网络安全 查看内容

黑客是如何利用手机传感器来窃取用户PIN码的?

2017-8-19 03:28| 投稿: xiaotiger |来自: 互联网

摘要: 2017年4月13日左右,来自英国纽卡斯尔大学的安全研究专家设计出了一种攻击方法,这种方法将允许恶意攻击者利用手机的传感器数据来窃取手机用户的PIN码。研究人员表示,这种方法在猜测四位数字PIN码时的准确率可以达 ...

2017年4月13日左右,来自英国纽卡斯尔大学的安全研究专家设计出了一种攻击方法,这种方法将允许恶意攻击者利用手机的传感器数据来窃取手机用户的PIN码。研究人员表示,这种方法在猜测四位数字PIN码时的准确率可以达到74%。

为此,研究人员还专门开发了一个名叫PINlogger.js的JavaScript脚本,这个脚本能够访问手机传感器所生成的数据,其中受影响的包括GPS、照相机、麦克风、加速计、磁力计、陀螺仪、计步器以及NFC等传感器。

在这种攻击场景之中,攻击者可以诱使用户通过智能手机的网页浏览器去访问一个恶意Web页面,而这个恶意网站将会运行PINlogger.js脚本,并在手机后台通过Web浏览器来收集手机传感器数据。

用户PIN码泄漏的原因:

内因:

1. 人们对手机传感器数据的安全意识不高,绝大多数用户关心的只有类似摄像头和GPS这样的常用传感器,但是并不关心手机其他传感器的安全问题。比如攻击者可以通过用户点击屏幕时手机的倾斜度,来将这些传感器数据为目标用户建立一个触摸模型,然后根据这个模型来推演出用户的输入数据;

2.Web浏览器或移动应用在访问并收集传感器数据时并不需要权限许可,这样使得恶意应用可以在无需得到用户许可的情况下访问传感器数据;而且基于浏览器的JavaScript攻击既不需要安装任何的应用程序,也不需要申请用户权限。给用户的数据造成了极大的威胁。

外因:

黑客可以通过这些漏洞轻易窃取用户的数据而达到自己的目的。

事情造成的影响:

从Firefox浏览器v46版本开始,Mozilla已经限制JavaScript访问手机的运动和方向传感器了。

而根据苹果公司的安全公告,在iOS 9.3中,当Web视图隐藏时,系统会停用运动和方向数据。

对于谷歌的Chrome浏览器来说,目前还没有相应的应对措施。

缓解方案:

1. 定期修改自己的PIN码和账号密码,并且及时关闭运行于手机后台的应用程序。

2. 及时对自己的手机操作系统以及应用程序进行更新升级,而且不要从不受信任的第三方源获取应用,尽量只从官方应用商店获取移动应用。

3.对于那些比较熟悉手机的用户来说,可以对手机给应用的赋权情况进行手动检查。

在我们的周围总是在发生着信息泄露事件,如果我们自己平时不去留心这些事儿的话,那么总有一天我们的信息安全也将受到威胁,所以从现在起时时注意自己的信息安全吧!

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:http://www.toutiao.com/a6451395003578056974/

免责声明:本文搜集整理自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,请我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部