研究人員發(fā)現(xiàn), PINlogger.js可以訪問手機傳感器(包括GPS、相機、麥克風(fēng)、加速計、磁力計、計步器、陀螺儀等)生成的數(shù)據(jù),盡管這是首次嘗試,就已經(jīng)能夠破解70%的四位數(shù)PIN碼。梅納扎德通過“PINlogger.js”腳本在第三次嘗試中正確猜測了94%的PIN碼。
因此,惡意網(wǎng)站,以及安裝在設(shè)備上的應(yīng)用(APP)可以使用手機動作傳感器中的信息監(jiān)視用戶。
他在紐卡斯爾大學(xué)發(fā)布的新聞稿中解釋稱,移動應(yīng)用和網(wǎng)站不需要請求許可就可以訪問大多數(shù)數(shù)據(jù),惡意程序可以秘密監(jiān)聽傳感器數(shù)據(jù),并用來發(fā)現(xiàn)用戶的大量敏感信息,包括通話時間、身體活動、觸屏操作、PIN碼和密碼等。
如果用戶被誘騙將這款PIN記錄器加載到瀏覽器標簽,并在另一個標簽內(nèi)運行銀行應(yīng)用程序,梅納扎德認為該腳本也能窺探用戶的銀行登錄信息。他帶領(lǐng)的研究團隊已經(jīng)從智能手機傳感器中識別了單個數(shù)字,包括點擊、滾動、縮放和數(shù)字鍵盤的數(shù)字。借助PINlogger.js,研究人員可以捕捉4位數(shù)序列。研究人員在文章中強調(diào),W3C標準規(guī)范并未詳細說明任何政策,也未討論潛在漏洞相關(guān)的風(fēng)險。
Web API潛在危害電池充電和藍牙設(shè)備廠商可能并沒有想到在瀏覽器內(nèi)訪問動作傳感器會暴露如此多信息,因為采樣率比較低。
隱私研究人員盧卡什-奧勒杰尼科強調(diào),Web API對電池充電和藍牙設(shè)備存在潛在危害。
梅納扎德并未要求審查或移除這類API,但表示,盡管研究人員已經(jīng)聯(lián)系了瀏覽器廠商,并提醒了可能會發(fā)生的攻擊場景,截至目前瀏覽器提供商尚未提出解決方案。
他們強調(diào),一些移動瀏覽器廠商,例如Mozilla、Firefox和蘋果Safari對該問題進行了部分修復(fù)。
研究人員提醒用戶應(yīng)該遵循的基本規(guī)則:確保定期修改PIN碼和密碼,以便惡意網(wǎng)站無法識別模式。
不使用的情況下,關(guān)閉后臺運行應(yīng)用,并卸載不需要的應(yīng)用。
使用最新的操作系統(tǒng)和應(yīng)用程序。
僅從正規(guī)應(yīng)用商店安裝應(yīng)用程序。
審核應(yīng)用程序在手機上的許可權(quán)限。
安裝之前,仔細檢查應(yīng)用程序要求的權(quán)限,如有必要,請選擇更合理的許可權(quán)限。