生活中我們熟知的手機傳感器有很多種，傳感器的作用是使我們在前臺操作的更加方便流暢。近期，英國紐卡斯爾大學的一個安全研究團隊發(fā)現(xiàn)了一種惡意JavaScript文件，能夠在用戶毫不知情的情況下在網(wǎng)站或App中悄悄進行加載，并通過各種手機傳感器來訪問并收集用戶手機中的數(shù)據(jù)，破解用戶的密碼或PIN碼。

　　手機傳感器嗅探用戶密碼

　　這種惡意JS文件能夠在用戶毫不知情的情況下在網(wǎng)站或App中悄悄進行加載，當用戶使用智能手機訪問網(wǎng)站或App時，它就能夠在后臺通過各種手機傳感器來訪問并收集用戶手機中的數(shù)據(jù)，攻擊者將能夠利用這些收集到的數(shù)據(jù)來破解用戶的密碼或PIN碼。研究人員表示，這種惡意腳本能夠利用25種不同的傳感器來收集數(shù)據(jù)，在對這些收集到的數(shù)據(jù)進行整合之后，攻擊者將能夠推斷出目標用戶在手機上所輸入的內(nèi)容。

　　根據(jù)Mozilla公司的公告，火狐瀏覽器已經(jīng)從v46版本開始限制JavaScript腳本訪問手機的運動和方向傳感器。除此之外，蘋果公司也已經(jīng)在iOS9．3的Safari瀏覽器中采取了類似的限制措施。但需要注意的是，目前Chrome瀏覽器仍然存在這一問題。

　　這種攻擊技術(shù)之所以能夠存在，主要是因為某些應(yīng)用程序不會受到手機操作系統(tǒng)的權(quán)限限制，例如Web瀏覽器，而像這樣的App將能夠訪問手機所有的傳感器數(shù)據(jù)。根據(jù)目前智能手機內(nèi)置的權(quán)限模型，當App需要訪問例如GPS、照相機或麥克風這樣的傳感器時，手機會要求用戶對相應(yīng)操作賦權(quán)，但是當App訪問手機的加速計、陀螺儀、NFC和重力感應(yīng)器的數(shù)據(jù)時，手機并不會向用戶發(fā)出權(quán)限請求。

　　由于硬件成本不高，這些傳感器正在成為現(xiàn)代智能手機的標配，但移動端操作系統(tǒng)更新升級的腳步卻沒有跟上，所以才導致了這一問題的出現(xiàn)。為了驗證這種攻擊，研究人員編寫了一個名叫PINlogger．js的JavaScript文件，這個文件能夠訪問這些不受系統(tǒng)權(quán)限控制的傳感器，并從中獲取傳感器的使用日志等數(shù)據(jù)。

　　如果用戶允許瀏覽器或者已被感染的App在手機后臺運行的話，那么當用戶在使用其他的App時，PINlogger．js腳本就會持續(xù)收集傳感器數(shù)據(jù)。此時，用戶在任何時候所輸入的PIN碼以及密碼都會被PINlogger．js記錄下來，而這些數(shù)據(jù)將會發(fā)送至攻擊者所控制的服務(wù)器。由于手機中配備的傳感器越來越多，所以攻擊者可以收集到的數(shù)據(jù)量也就會更大，這也將導致攻擊者破解用戶輸入內(nèi)容的成功率就會更高。

　　轉(zhuǎn)載請注明來源：賽斯維傳感器網(wǎng)（mizp.cn）