英国纽卡斯尔大学的计算机科学家团队研究出一种可以猜出用户手机密码的方法:他们通过获取用户智能手机的内置陀螺仪装置所收集信息,首次尝试就能猜中密码的概率高达70%,尝试5次的命中率就达到了100%。

纽卡斯尔大学计算机科学院研究员Maryam Mehrnezhad教授称:“大部分智能手机、平板电脑和其他可穿戴设备如今都装有大量感应装置,从大家都熟知的GPS导航系统、摄像头和麦克风,到陀螺仪、旋转感应器和加速计。但是由于移动设备上大部分应用程序和网站不需要用户授权,就可以获取隐私信息,恶意程序就能够接触到来自各种感应装置的数据,并使用这些数据发现关于用户的敏感信息,比如通话时长、活动情况、甚至各种密码。”

该研究团队发现,大部分智能设备都配备,且可以被用来泄露用户信息的内置传感装置高达25种。而用户的任何一种动作,无论是点击、翻页还是长按、短按,都会造成一种独特的倾斜角度和运动轨迹,所以在一个已知的网页上,研究人员可以知道用户在点击页面的哪一部分以及他们在输入的内容。

该研究团队表示,目前这种攻击所使用的方法存在很大技术屏障。要达到前述70%的准确度,黑客需要对系统进行大量的“训练”,即提供足够的用户行为数据。即使是猜一个简单的4位密码,研究人员都需要手机用户输入50组已知的密码,每组输入5次,系统才能学习到用户握手机的习惯,并将猜中密码的准确度提高到70%。

由于目前行业里对于手机内置传感装置的使用方法不一而足,即使上述研究暴露除了安全漏洞,生产商也很难给出相应的应对策略。

该研究团队声称,已经针对此安全问题向最大浏览器提供商谷歌和苹果发出了警告,但至今没有得到回应。