近日，新加坡南洋理工大學（NTU）的研究人員在本月發表了一個研究結論。惡意程序可以自由訪問智能手機上的傳感器數據，收集傳感器產生的高度敏感的信息，并利用這些信息猜測用戶的手機 PIN 碼。這項研究背后的三個科學家只是最近的一批研究人員，此前有其他人做過其他的研究，這次的研究者們注意到在 Android 和 iOS 等現代移動操作系統的設計中出現了明顯的安全漏洞。

　　研究人員表示，這些操作系統不需要應用程序在訪問傳感器數據之前向用戶請求權限。

　　傳感器為每個按鍵提供了獨特的數據指紋

　　為了證明他們的觀點，研究人員創建了一個 App, 安裝在了安卓測試機上，該應用程序能靜默收集來自六種傳感器中的數據，它們分別是：加速計、陀螺儀、磁力計、近距離傳感器（使用紅外線進行近距離測距的傳感器）和環境光傳感器。

　　當用戶用手指在觸摸屏上輸入 PIN 碼并解鎖手機時，研究人員能人工智能算法分析傳感器數據，包括手機的傾斜狀態（空間和角度相關坐標）、附近的環境光，來區分不同按鍵上的按壓，從而推斷出 PIN 碼。

圖 / App 的程序布局（來自研究團隊論文 There Goes Your PIN: Exploiting Smartphone Sensor Fusion Under Single and Cross User Setting ）

　　在他們的實驗中，研究小組僅使用了三個人提供的 500 個隨機輸入 PIN 碼操作的傳感器數據，這意味著當數據更多時算法會更準確。

　　研究團隊表示，根據他們掌握的樣本，使用 50 個最常見的 PIN 碼時，算法已能夠以 99.5% 的準確率在第一次嘗試時就猜中 PIN。之前的研究同樣使用 50 個最常見的 PIN 碼，但是準確率僅為 74%。

　　當研究團隊試圖在 20 次嘗試范圍內，猜中全部 10000 個可能的四位 PIN 碼組合時，成功率由 99.5% 下降到 83.7%。研究人員表示，采用這種技術可以很容易地破解更長的 PIN 碼。

　　以往研究證明問題很嚴重

　　南洋理工大學的研究團隊強調，真正的問題在于應用程序不需要事先詢問用戶是否同意，便能直接訪問傳感器的數據。Android 和 IOS 都會受到這個問題的影響。這個設計缺陷可能會被武器化，并被用來竊取更多的密碼。

　　在他們發布論文之前，有些研究就已經在進行了。

　　例如在今年九月，普林斯頓大學的研究人員悄悄從手機傳感器收集數據，成功推斷出用戶的地理位置，而無需用戶的 GPS 數據。

　　而在今年 4 月，英國紐卡斯爾大學的科學家創建了一個 JavaScript 文件，這個文件可以被嵌入到網頁或惡意應用程序中，可以靜靜地記錄手機傳感器數據，使攻擊者能夠推斷出用戶在其設備上輸入的內容。

　　研究人員希望這個問題能在系統層面解決，而不是在應用層面。隨著這方面的研究越來越多，蘋果和谷歌應該對用戶傳感器進行控制，以便在用戶安裝的 App 訪問傳感器數據時進行更安全的限制。

責任編輯：王超