黑客可以使用智能手机的传感器数据来猜测PIN和密码

根据印度裔科学家领导的一项研究,来自智能手机传感器的数据可以向黑客泄露PIN和密码,并允许他们解锁您的移动设备。

新加坡南洋理工大学(NTU)的研究人员说,智能手机中的陀螺仪和接近传感器等仪器可能存在潜在的安全漏洞。

使用机器学习算法以及从智能手机中发现的六个不同传感器收集的信息的组合,研究人员在处理具有50个最常见PIN码之一的手机时,仅用了3次尝试就成功以99.5%的精度解锁了Android智能手机。

对于50个最常用的密码,以前的最佳电话破解成功率是74%,但是NTU的技术可以用来猜测所有10,000种可能的四位数PIN组合。

相关新闻英国宣布向印度发起400万英镑的创新挑战基金,其中34万名怀疑未报告收益的投资者受到I-T支持的LTCG税:报告印度航空的投资减少:政府会采取VRS方式来驯服不合作的工会吗?

在NTU高级研究科学家Shivam Bhasin的带领下,研究人员使用智能手机中的传感器,根据手机的倾斜方式以及拇指或手指挡住了多少光线,来模拟用户按下了哪个数字。

研究人员认为,他们的工作凸显了智能手机安全性的重大缺陷,因为在手机中使用传感器不需要手机用户授予任何权限,并且可以供所有应用程序公开使用。

研究人员团队使用Android手机并安装了自定义应用程序,该应用程序从六个传感器收集数据:加速计,陀螺仪,磁力计,接近传感器,气压计和环境光传感器。

“当您握住手机并输入PIN时,按1、5或9时手机的移动方式将非常不同。同样,用右手拇指按1会比按9阻挡更多的光线。” Bhasin说。

使用从三个人那里收集的数据对分类算法进行了训练,每个人在手机上输入了一组随机的70个四位数字的PIN码。

同时,它记录了相关的传感器反应。

被称为深度学习的分类算法能够为每个传感器赋予不同的重要性加权,这取决于每个传感器对不同数字被按下的敏感程度。

这有助于消除它认为不太重要的因素,并提高PIN检索的成功率。

尽管每个人在手机上输入的安全PIN均不同,但科学家们表明,随着时间的流逝,越来越多的人将数据输入该算法,成功率得到了提高。

因此,尽管恶意应用程序可能无法使用机器学习在安装后立即正确猜出PIN,但随着时间的流逝,它可能会从其每部手机中收集数千名用户的数据,以了解其PIN输入模式,然后在以后进行攻击。成功率要高得多。

NTU的Gan Chee Lip教授说,这项研究表明,使用看似安全的设备可以通过边信道进行攻击,因为传感器数据可能被恶意应用程序转移以监视用户行为并帮助访问PIN和密码信息。

为了确保移动设备的安全,Bhasin建议用户使用四位数以上的PIN码,并结合其他身份验证方法,例如一次性密码,两因素身份验证以及指纹或面部识别。