快禁用App不必要的权限 手机传感器可能在监视你,4月14日讯 英国纽卡斯尔大学(Newcastle University)玛丽亚姆-梅纳扎德创建了一款JavaScript应用“PINlogger.js”,可用于监视智能手机的传感器,从而猜测用户密码解锁设备。
手机传感器记录的信息能暴露至少4位数的密码,甚至金融支付密码研究人员发现, PINlogger.js可以访问手机传感器(包括GPS、相机、麦克风、加速计、磁力计、计步器、陀螺仪等)生成的数据,尽管这是首次尝试,就已经能够破解70%的四位数PIN码。梅纳扎德通过“PINlogger.js”脚本在第三次尝试中正确猜测了94%的PIN码。
因此,恶意网站,以及安装在设备上的应用(APP)可以使用手机动作传感器中的信息监视用户。
他在纽卡斯尔大学发布的新闻稿中解释称,移动应用和网站不需要请求许可就可以访问大多数数据,恶意程序可以秘密监听传感器数据,并用来发现用户的大量敏感信息,包括通话时间、身体活动、触屏操作、PIN码和密码等。
如果用户被诱骗将这款PIN记录器加载到浏览器标签,并在另一个标签内运行银行应用程序,梅纳扎德认为该脚本也能窥探用户的银行登录信息。他带领的研究团队已经从智能手机传感器中识别了单个数字,包括点击、滚动、缩放和数字键盘的数字。借助PINlogger.js,研究人员可以捕捉4位数序列。研究人员在文章中强调,W3C标准规范并未详细说明任何政策,也未讨论潜在漏洞相关的风险。
Web API潜在危害电池充电和蓝牙设备厂商可能并没有想到在浏览器内访问动作传感器会暴露如此多信息,因为采样率比较低。
隐私研究人员卢卡什-奥勒杰尼科强调,Web API对电池充电和蓝牙设备存在潜在危害。
梅纳扎德并未要求审查或移除这类API,但表示,尽管研究人员已经联系了浏览器厂商,并提醒了可能会发生的攻击场景,截至目前浏览器提供商尚未提出解决方案。
他们强调,一些移动浏览器厂商,例如Mozilla、Firefox和苹果Safari对该问题进行了部分修复。
研究人员提醒用户应该遵循的基本规则:
- 确保定期修改PIN码和密码,以便恶意网站无法识别模式。
- 不使用的情况下,关闭后台运行应用,并卸载不需要的应用。
- 使用最新的操作系统和应用程序。
- 仅从正规应用商店安装应用程序。
- 审核应用程序在手机上的许可权限。
- 安装之前,仔细检查应用程序要求的权限,如有必要,请选择更合理的许可权限。
