如何通过传感器数据猜测手机PIN码?

 

通过传感器数据猜测手机PIN码

新加坡南洋理工大学的研究人员指出,智能手机中的工具如加速度计、陀螺仪和接近传感器都可能是潜在的安全漏洞。

研究人员结合从智能手机中6款不同传感器所收集的信息、机器学习以及深度学习算法,以99.5%的准确度仅通过三次尝试就成功地解锁使用50种最常用PIN码之一的安卓智能手机。此前针对50种最常用的PIN码开展的手机破解成功率最佳记录是74%,不过南洋理工大学研究人员所使用的技术能猜测到所有四位数字PIN码的1,000种组合。

由南洋理工大学高级研究科学家Shivam Bhasin博士牵头,研究人员使用智能手机中的传感器,是基于手机的倾斜度以及拇指或手指拦截的光的多少来建模,进而预测用户所按下的数字。研究人员认为他们的工作表明智能手机安全中存在一个重大缺陷,因为使用手机中的传感器无需获得机主权限,而且所有 app 均可公开访问它。

NTU Shivam Bhasin博士手持一个可以捕获传感器数据的定制软件

 

具体实验步骤

研究人员在多部安卓手机中安装了一个自定义 app,用于从六个传感器、加速度计、陀螺仪、磁力仪、接近传感器、气压计和环境光线感应器中收集数据。Bhasin博士表示,“当拿着手机输入PIN码时,你按下1、5或9时手机的移动非常不一样。比如,用右手拇指按下1会比按下9拦截更多的光。”Bhasin博士和同事 David Berend先生以及Bernhard Jungk博士花费了十个月的时间开展这个项目。

这三名研究员通过收集的数据训练了分类算法,他们每个人都在一部手机上随机输入70个四位数字的PIN码,同时记录相关的传感器反应。这种分类算法属于深入学习范畴,能够对传感器的重要性进行优先级排序,依据是每个传感器对所按下数字的敏感度不同。这样就能剔除不重要的传感器并增加PIN码检索的成功率。

尽管每个人在手机上输入的安全 PIN 码不同,但研究人员表示,随着时间的推移更多人输入算法的数据增多,成功率也会提升。因此,虽然一款恶意app可能在安装后无法立即猜测到 PIN 码,但通过机器学习它能够随着时间的推移收集数千名用户的手机数据来学习机主的PIN码输入模式并在成功率明显提高后发动攻击。

 

安全客评

三名研究员所在实验室的主管兼教授 Gan Chee Lip表示这项研究表明,看似安全度强大的设备也可受侧信道攻击,因为传感器数据可能遭恶意应用利用从而监控用户行为、访问PIN码和密码信息等。他建议移动操作系统在未来限制对这六个传感器的访问权限,这样用户就能主动选择将权限授予可信app。

除了厂商提升对传感器数据的获取权限外,为了让移动设备更加安全,我们还建议用户将PIN码设置为四位以上,并且定期及时更换密码。同时采用多因子的密码验证方式,如一次性密码、双因素验证、以及指纹或面部识别系统等。并且用户应确认所下载APP的安全性,可以从可信度高的APP市场在观察评论后进行下载。

(完)