研究人员发现, PINlogger.js可以访问手机传感器(包括GPS、相机、麦克风、加速计、磁力计、计步器、陀螺仪等)生成的数据,尽管这是首次尝试,就已经能够破解70%的四位数PIN码。梅纳扎德通过“PINlogger.js”脚本在第三次尝试中正确猜测了94%的PIN码。
因此,恶意网站,以及安装在设备上的应用(APP)可以使用手机动作传感器中的信息监视用户。
他在纽卡斯尔大学发布的新闻稿中解释称,移动应用和网站不需要请求许可就可以访问大多数数据,恶意程序可以秘密监听传感器数据,并用来发现用户的大量敏感信息,包括通话时间、身体活动、触屏操作、PIN码和密码等。
如果用户被诱骗将这款PIN记录器加载到浏览器标签,并在另一个标签内运行银行应用程序,梅纳扎德认为该脚本也能窥探用户的银行登录信息。他带领的研究团队已经从智能手机传感器中识别了单个数字,包括点击、滚动、缩放和数字键盘的数字。借助PINlogger.js,研究人员可以捕捉4位数序列。研究人员在文章中强调,W3C标准规范并未详细说明任何政策,也未讨论潜在漏洞相关的风险。
快禁用App不必要的权限 手机传感器可能在监视你-E安全
Web API潜在危害电池充电和蓝牙设备
厂商可能并没有想到在浏览器内访问动作传感器会暴露如此多信息,因为采样率比较低。
隐私研究人员卢卡什-奥勒杰尼科强调,Web API对电池充电和蓝牙设备存在潜在危害。
梅纳扎德并未要求审查或移除这类API,但表示,尽管研究人员已经联系了浏览器厂商,并提醒了可能会发生的攻击场景,截至目前浏览器提供商尚未提出解决方案。
他们强调,一些移动浏览器厂商,例如Mozilla、Firefox和苹果Safari对该问题进行了部分修复。
研究人员提醒用户应该遵循的基本规则:
确保定期修改PIN码和密码,以便恶意网站无法识别模式。
不使用的情况下,关闭后台运行应用,并卸载不需要的应用。
使用最新的操作系统和应用程序。
仅从正规应用商店安装应用程序。
审核应用程序在手机上的许可权限。
安装之前,仔细检查应用程序要求的权限,如有必要,请选择更合理的许可权限。
本文转自d1net(转载)
