產(chǎn)品中心 應(yīng)用方案 技術(shù)文摘質(zhì)量保證產(chǎn)品選型 下載中心業(yè)內(nèi)動態(tài) 選型幫助 品牌介紹 產(chǎn)品一覽 聯(lián)系我們
- 手機傳感器為何變成“黑客觸角”?
- 來源:
生活中我們熟知的手機傳感器有很多種,傳感器的作用是使我們在前臺操作的更加方便流暢。近期,英國紐卡斯爾大學(xué)的一個安全研究團隊發(fā)現(xiàn)了一種惡意JavaScript文件,能夠在用戶毫不知情的情況下在網(wǎng)站或App中悄悄進行加載,并通過各種手機傳感器來訪問并收集用戶手機中的數(shù)據(jù),破解用戶的密碼或PIN碼。
手機傳感器嗅探用戶密碼
這種惡意JS文件能夠在用戶毫不知情的情況下在網(wǎng)站或App中悄悄進行加載,當用戶使用智能手機訪問網(wǎng)站或App時,它就能夠在后臺通過各種手機傳感器來訪問并收集用戶手機中的數(shù)據(jù),攻擊者將能夠利用這些收集到的數(shù)據(jù)來破解用戶的密碼或PIN碼。研究人員表示,這種惡意腳本能夠利用25種不同的傳感器來收集數(shù)據(jù),在對這些收集到的數(shù)據(jù)進行整合之后,攻擊者將能夠推斷出目標用戶在手機上所輸入的內(nèi)容。
根據(jù)Mozilla公司的公告,火狐瀏覽器已經(jīng)從v46版本開始限制JavaScript腳本訪問手機的運動和方向傳感器。除此之外,蘋果公司也已經(jīng)在iOS9.3的Safari瀏覽器中采取了類似的限制措施。但需要注意的是,目前Chrome瀏覽器仍然存在這一問題。
這種攻擊技術(shù)之所以能夠存在,主要是因為某些應(yīng)用程序不會受到手機操作系統(tǒng)的權(quán)限限制,例如Web瀏覽器,而像這樣的App將能夠訪問手機所有的傳感器數(shù)據(jù)。根據(jù)目前智能手機內(nèi)置的權(quán)限模型,當App需要訪問例如GPS、照相機或麥克風(fēng)這樣的傳感器時,手機會要求用戶對相應(yīng)操作賦權(quán),但是當App訪問手機的加速計、陀螺儀、NFC和重力感應(yīng)器的數(shù)據(jù)時,手機并不會向用戶發(fā)出權(quán)限請求。
由于硬件成本不高,這些傳感器正在成為現(xiàn)代智能手機的標配,但移動端操作系統(tǒng)更新升級的腳步卻沒有跟上,所以才導(dǎo)致了這一問題的出現(xiàn)。為了驗證這種攻擊,研究人員編寫了一個名叫PINlogger.js的JavaScript文件,這個文件能夠訪問這些不受系統(tǒng)權(quán)限控制的傳感器,并從中獲取傳感器的使用日志等數(shù)據(jù)。
如果用戶允許瀏覽器或者已被感染的App在手機后臺運行的話,那么當用戶在使用其他的App時,PINlogger.js腳本就會持續(xù)收集傳感器數(shù)據(jù)。此時,用戶在任何時候所輸入的PIN碼以及密碼都會被PINlogger.js記錄下來,而這些數(shù)據(jù)將會發(fā)送至攻擊者所控制的服務(wù)器。由于手機中配備的傳感器越來越多,所以攻擊者可以收集到的數(shù)據(jù)量也就會更大,這也將導(dǎo)致攻擊者破解用戶輸入內(nèi)容的成功率就會更高。
轉(zhuǎn)載請注明來源:賽斯維傳感器網(wǎng)(www.renegade-mag.com)
- 如果本文收錄的圖片文字侵犯了您的權(quán)益,請及時與我們聯(lián)系,我們將在24內(nèi)核實刪除,謝謝!