以影像模擬推測 成功盜取使用者Pin碼
英國劍橋大學 8 日發表最新技術研究,指出智能手機的前攝像鏡頭與麥克風,可能成為黑客盜取密碼的工具,並示範如何透過錄下使用者輸入密碼的視頻或音訊,推測出使用者的密碼。
現時智能手機均可共享特定的傳感器,包括加速計、陀螺儀、前攝像鏡頭與麥克風,早前英國劍橋大學已示範了採用手機上的加速計與陀螺儀,推斷使用者所鍵入的內容,稱為「 Side Channel Attack 」,經過學習使用者輸入的習慣後,最終能夠精準地推斷使用者所鍵入的內容。
這次英國劍橋大學則採用了稱為 PIN Skimmer 的模擬系統,假設用戶的智能手機已被入侵並取得了內建攝像鏡頭與麥克風權限,黑客可以通過麥克風得悉使用者正在輸入 PIN 密碼,與此同時前攝像鏡頭會錄下使用者輸入密碼時的影像。
測試 50 組長度為 4 位數 Pin 碼,在 5 次嘗試內可以破解超過 50% 的 Pin 碼,理論上 Pin 碼的長度意味著更高的安全性,但英國劍橋大學的研究發現,就算 Pin 碼長度提升至 8 位, 5 次嘗試內的破解成功率仍超過 45% 。
英國劍橋大學認為智能手機不斷普及,黑客將會用盡所有方式入侵及騙取密碼,傳感器將會是入侵的重要項目,因此這是允許共享的硬件資源,銀行類應用程式開發者需多加留意,採用二次認証設備將會是最佳解決方案。
有關論文可在此下載︰
http://www.cl.cam.ac.uk/ ~ rja14/Papers/pinskimmer_spsm13.pdf