示意圖,與新聞事件無關。

近年來智慧型手機、平板及其他穿戴裝置搭配感測器,如GPS、相機、加速度計、陀螺儀的應用愈來愈普遍。英國新堡大學(Newcastle University)研究人員公佈一種新的竊密手法,透過讀取並分析時下流行的運動感測器資料,來破解網路銀行或其他app的帳號密碼。 

研究人員指出,拜成本降低之賜,現在愈來愈多手機、平板外接感測器,然而行動應用的安全設計卻未能跟上。例如大部份手機app和網站不需用戶同意,就可以存取這些感測器的資料,因此只要在手機及網頁app植入惡意程式,就能輕鬆竊取感測器的資料,再用來破解各種私密資料,例如打電話的時間、實際活動、甚至用戶觸控動作、密碼及PIN碼。 

談到物聯網裝置的安全性,一般人會擔心GPS、麥克風或相機,卻忽略了較不起眼的感測器,如加速度計、陀螺儀、距離或旋轉感測器等。事實上,這些感測器的資料可被用以推測使用者的行動,例如通電話的時間長短,或是通勤方式(如是走路、開車或搭地鐵)。 

以打字而言,不論使用者是一隻手拿手機,另一隻手輸入,或是兩隻手捧著手機以拇指輸入,利用穿戴感測器蒐集的裝置傾斜角度配合使用者平常的觸控特徵,就可能破解出用戶輸入的密碼。 

研究人員因此撰寫了一個名為PINlogger.js的JavaScript檔案來蒐集感測器的動作,並以機器學習技術破解Android裝置用戶app的4位數PIN碼。在50個樣本PIN碼中,74%第一次就猜對,第3次猜測準確率為94%,第5次猜測準確率就達到100%。 

新堡大學研究人員釋出的示範影片:

 

他們的測試還發現,一些瀏覽器之中,若用戶某個頁籤跑的是植有PINlogger.js的網頁,另一個頁籤同時開啟網路銀行網頁,PINlogger.js這時就可以蒐集到用戶帳密。而在某些情況下,即使關閉了這些惡意網頁,這隻程式還是可在手機螢幕被鎖住情況下得逞。問題徵結在於業界雖然希望安全,卻不願犧牲便利性。 

研究人員指出,目前Mozilla/Firefox及蘋果Safari「已經修復部分問題」,但還未能完全解決。現在Firefox已經限制JavaScript只能存取動作及方向感測器上層文件及同源的iframe,Safari則在web view隱藏時不允許存取動作及方向感測器。 

研究人員呼籲,在找到確實解法之前,使用者要養成良好習慣,包括經常變更網站密碼、關閉不常用的背景運作app,檢查並留意手機app存取的權限,不要從來路不明的線上市集下載app等。

熱門新聞

Advertisement