黑客只需监视智能手机传感器就可以窃取你的密码

如今，普通的智能手机都配备了各种传感器，比如GPS、摄像头、麦克风、加速计、磁强计、接近度、陀螺仪、计步器和NFC等等。

现在，根据英国纽卡斯尔大学（Newcastle University）的一组科学家的说法，黑客可能会猜测PIN码和密码–；你可以在银行网站、应用程序、锁屏和#8211；通过监控手机的传感器，比如你打字时手机的角度和运动，达到惊人的准确度。

这种危险源于恶意网站和应用程序在未获得任何访问权限的情况下访问智能手机大部分内部传感器的方式–；即使您通过HTTPS访问安全网站以输入密码，也无所谓。

你的手机不会限制应用程序访问传感器数据

你的智能手机应用程序通常会请求你的许可，授予他们访问GPS、摄像头和麦克风等传感器的权限。

但由于过去几年移动游戏和健康健身应用的蓬勃发展，移动操作系统并没有限制已安装的应用程序访问来自大量运动传感器（如加速计、陀螺仪、NFC、运动和接近度）的数据。

任何恶意应用程序都可以将这些数据用于邪恶目的。格式错误的网站也是如此。

“大多数智能手机、平板电脑和其他可穿戴设备现在都配备了多种传感器，从著名的GPS、摄像头和麦克风，到陀螺仪、接近仪、NFC、旋转传感器和加速计等仪器，”该论文的首席研究员马亚姆·梅尔内扎德博士在描述这项研究时说。

“但是，由于移动应用程序和网站不需要获得访问大多数应用程序和网站的许可，恶意程序可以秘密地‘监听’你的传感器数据，并使用它来发现关于你的各种敏感信息，例如电话通话时间、身体活动，甚至你的触摸动作、PIN码和密码。”

袭击的视频演示

科学家甚至展示了一种可以在智能手机上记录大约25个传感器数据的攻击。他们还提供了攻击的视频演示，展示了他们的恶意脚本如何从iOS设备收集传感器数据。

该团队编写了一个恶意Javascript文件，能够访问这些传感器并记录其使用数据。这种恶意脚本可以在你不知情的情况下嵌入移动应用程序或加载到网站上。

现在，攻击者只需诱使受害者安装恶意应用程序或访问流氓网站。

一旦完成此操作，无论受害者在其手机后台运行恶意应用程序或网站时在其设备上键入什么，恶意脚本都将继续访问来自各种传感器的数据，并记录猜测PIN或密码所需的信息，然后将其发送到攻击者的服务器。

猜测PIN码和密码的准确度很高

根据从50台设备记录的数据，研究人员能够在第一次尝试时以74%的准确度猜出四位数的引脚，在第五次尝试时以100%的准确度猜出四位数的引脚，只需使用从运动和方向传感器收集的数据，无需任何特殊许可即可访问。

科学家们甚至能够使用收集到的数据来确定用户在哪里点击和滚动，他们在移动网页上键入的内容，以及他们在网页上点击的部分。

研究人员表示，他们的研究只是为了提高人们对智能手机中几个传感器的认识，这些传感器的应用程序可以在没有任何许可的情况下访问，而供应商尚未在其标准内置许可模型中加入任何限制。

“尽管存在非常真实的风险，但当我们询问人们最关心的传感器时，我们发现感知风险与理解之间存在直接关联，”梅尔内扎德说。“因此，人们对摄像头和GPS的关注远远超过了对无声传感器的关注。”

Mehrnezhad表示，该团队已经向谷歌和苹果等领先的浏览器供应商发出了风险警告，尽管包括Mozilla和Safari在内的一些供应商已经部分解决了这个问题，但该团队仍在与业界合作，寻找理想的解决方案。