英媒:手機陀螺儀或泄致命信息 看傾斜角度能猜出密碼

　　有研究表明，黑客可以通過(guò)用戶(hù)輸入手機密碼時(shí)傾斜手機的角度猜出用戶(hù)密碼。

　　英國當地時(shí)間4月11日，《衛報》報道稱(chēng)，紐卡斯爾大學(xué)的計算機科學(xué)家團隊研究出一種可以猜出用戶(hù)手機密碼的方法：他們通過(guò)獲取用戶(hù)智能手機的內置陀螺儀裝置所收集信息，首次嘗試就能猜中密碼的概率高達70%，嘗試5次的命中率就達到了100%。

　　這種理論上的黑客行為主要利用了智能手機的一個(gè)漏洞，即移動(dòng)端瀏覽器應用會(huì )要求手機與其分享數據。當手機使用地理位置等敏感信息時(shí)，會(huì )彈出窗口要求用戶(hù)授權，用戶(hù)一旦授權，網(wǎng)站就可以讀取用戶(hù)的任何授權信息。惡意網(wǎng)站也可以這樣做，從而在用戶(hù)不知情的情況下，獲取看似無(wú)害的信息，如手持裝置的方向等。

　　紐卡斯爾大學(xué)計算機科學(xué)院研究員Maryam Mehrnezhad教授稱(chēng)：“大部分智能手機、平板電腦和其他可穿戴設備如今都裝有大量感應裝置，從大家都熟知的GPS導航系統、攝像頭和麥克風(fēng)，到陀螺儀、旋轉感應器和加速計。”

　　“但是由于移動(dòng)設備上大部分應用程序和網(wǎng)站不需要用戶(hù)授權，就可以獲取隱私信息，惡意程序就能夠接觸到來(lái)自各種感應裝置的數據，并使用這些數據發(fā)現關(guān)于用戶(hù)的敏感信息，比如通話(huà)時(shí)長(cháng)、活動(dòng)情況、甚至各種密碼。”Mehrnezhad解釋道。

　　目前，網(wǎng)站在使用地理位置信息、攝像頭和麥克風(fēng)等功能時(shí)，都會(huì )要求用戶(hù)授權，因為這些信息被視為敏感信息，但手機傾斜角度、手機屏幕大小這種數據一般不被認為是敏感信息，所以會(huì )被分享給所有發(fā)送共享請求的網(wǎng)站和應用。

　　但研究課題組成員表示，手機用戶(hù)也不必太過(guò)擔心黑客會(huì )用這種技術(shù)侵入其設備，因為這種攻擊所使用的方法存在很大技術(shù)屏障，足以限制其被用于日常生活。

　　要達到前述70%的準確度，黑客需要對系統進(jìn)行大量的“訓練”，即提供足夠的用戶(hù)行為數據。即使是猜一個(gè)簡(jiǎn)單的4位密碼，研究人員都需要手機用戶(hù)輸入50組已知的密碼，每組輸入5次，系統才能學(xué)習到用戶(hù)握手機的習慣，并將猜中密碼的準確度提高到70%。

　　由于目前行業(yè)里對于手機內置傳感裝置的使用方法不一而足，即使上述研究暴露除了安全漏洞，生產(chǎn)商也很難給出相應的應對策略。

　　該研究團隊發(fā)現，大部分智能設備都配備，且可以被用來(lái)泄露用戶(hù)信息的內置傳感裝置高達25種。而用戶(hù)的任何一種動(dòng)作，無(wú)論是點(diǎn)擊、翻頁(yè)還是長(cháng)按、短按，都會(huì )造成一種獨特的傾斜角度和運動(dòng)軌跡，所以在一個(gè)已知的網(wǎng)頁(yè)上，研究人員可以知道用戶(hù)在點(diǎn)擊頁(yè)面的哪一部分以及他們在輸入的內容。

　　該團隊聲稱(chēng)，已經(jīng)針對此安全問(wèn)題向最大瀏覽器提供商谷歌和蘋(píng)果發(fā)出了警告，但至今沒(méi)有得到回應。