手機的解鎖 PIN 碼沒有那麼安全,科學家發現可以用陀螺儀的數據 ,精準猜出手機主人的 PIN 碼。
英國新堡大學(Newcastle University )的研究人員在《國際資訊安全雜誌》( International Journal of Information security)發表了論文,其中示範了手機的陀螺儀──追蹤手腕旋轉和方向的感測器,可以用來高精準度地猜出一組四位數的 PIN 碼。在一次測試中,該團隊以 70% 的準確率破解了密碼,連續測到第 5 次時,準確率高達 100%。
當然,要破解 PIN 碼,還是需要把大量的數據餵給程式的類神經網路。英國衛報(The Guardian )指出,使用者必須先鍵入 50 個已知的 PIN 碼,然後研究人員的演算法才能夠辨識出來。該演算法的原理是使用者按螢幕某個區域上的數字按鈕時,會造成手機特定微小的晃動與角度變化。而要辨識出來,其實也不簡單,畢竟每個人的手勁、動作習慣都不同,因此要對程式好好「訓練」一番,程式才猜得出來使用者輸入了什麼。但是,這明確地突顯出惡意程式的危險性,因為要存取陀螺儀感測器數據不需要取得手機使用者的許可。
論文的主作者 Maryam Mehrenzhad 博士,是新堡大學電腦科學學院研究員,他表示說:「大多數智慧型手機、平板電腦與其他穿戴裝置現在都配備了大量的感測器,但由於 App 和網站不需要徵詢使用者的許可,就可以取用這些感測器的數據,惡意程式有可能隱藏其『監聽』感測器數據的企圖。」
該團隊確定了總共有 25 款不同的智慧手機,其感測器可能會因此洩露使用者操作手機時的感測器數據。更糟糕的是,只有少數感測器的使用行為(例如相機和 GPS),會在安裝 App 時徵詢使用者的許可。
這讓人感到非常毛骨悚然,單單使用「方向」和「動作追蹤」的數據,不只是 PIN 碼,滑動、點擊、不同的握持法(一隻手用拇指滑,或者一隻手拿手機,另一隻手滑螢幕)等,都會產生特定的感測資料(是的,你手腕的搖晃,會留下蛛絲馬跡),因此研究人員甚至可以監測到使用者在一個網頁上做了哪些操作?打了什麼字?要完整監控一個人使用手機的行為,不是難事。
該學院的高級研究員兼本研究的成員的 Siamak Shahandashti 博士表示:「這有點像一個拼圖,你放上越多的缺片,就越容易洞見完整的圖片。」 而 Mehrenzhad 表示,該團隊已經向領先的瀏覽器開發團隊提醒了這個問題,Mozilla 和 Safari 都已經做出了修正。但她表示,研究人員仍在與業界合作,尋找更好的解決方案。
Mehrenzhad 說:「我們對生產最新功能,擁有優秀使用者體驗的廠商提出呼籲,目前整個行業的感測器沒有統一的管理方式,這對大家的個人安全真的造成了威脅」。
本文摘自科技新報
原文出處:英國科學家用陀螺儀數據,竟成功破譯了手機 PIN 碼
中華民國自由通訊傳播協會 