原標(biāo)題：看手機(jī)傾斜角度能猜出密碼！手機(jī)內(nèi)置陀螺儀可能泄漏致命信息

　　來源：澎湃新聞

　　澎湃新聞記者 王歆悅

　　有研究表明，黑客可以通過用戶輸入手機(jī)密碼時傾斜手機(jī)的角度猜出用戶密碼。

　　英國當(dāng)?shù)貢r間4月11日，《衛(wèi)報》報道稱，紐卡斯?fàn)柎髮W(xué)的計算機(jī)科學(xué)家團(tuán)隊研究出一種可以猜出用戶手機(jī)密碼的方法：他們通過獲取用戶智能手機(jī)的內(nèi)置陀螺儀裝置所收集信息，首次嘗試就能猜中密碼的概率高達(dá)70%，嘗試5次的命中率就達(dá)到了100%。

　　這種理論上的黑客行為主要利用了智能手機(jī)的一個漏洞，即移動端瀏覽器應(yīng)用會要求手機(jī)與其分享數(shù)據(jù)。當(dāng)手機(jī)使用地理位置等敏感信息時，會彈出窗口要求用戶授權(quán)，用戶一旦授權(quán)，網(wǎng)站就可以讀取用戶的任何授權(quán)信息。惡意網(wǎng)站也可以這樣做，從而在用戶不知情的情況下，獲取看似無害的信息，如手持裝置的方向等。

　　紐卡斯?fàn)柎髮W(xué)計算機(jī)科學(xué)院研究員Maryam Mehrnezhad教授稱：“大部分智能手機(jī)、平板電腦和其他可穿戴設(shè)備如今都裝有大量感應(yīng)裝置，從大家都熟知的GPS導(dǎo)航系統(tǒng)、攝像頭和麥克風(fēng)，到陀螺儀、旋轉(zhuǎn)感應(yīng)器和加速計�！�

　　“但是由于移動設(shè)備上大部分應(yīng)用程序和網(wǎng)站不需要用戶授權(quán)，就可以獲取隱私信息，惡意程序就能夠接觸到來自各種感應(yīng)裝置的數(shù)據(jù)，并使用這些數(shù)據(jù)發(fā)現(xiàn)關(guān)于用戶的敏感信息，比如通話時長、活動情況、甚至各種密碼�！盡ehrnezhad解釋道。

　　目前，網(wǎng)站在使用地理位置信息、攝像頭和麥克風(fēng)等功能時，都會要求用戶授權(quán)，因為這些信息被視為敏感信息，但手機(jī)傾斜角度、手機(jī)屏幕大小這種數(shù)據(jù)一般不被認(rèn)為是敏感信息，所以會被分享給所有發(fā)送共享請求的網(wǎng)站和應(yīng)用。

　　但研究課題組成員表示，手機(jī)用戶也不必太過擔(dān)心黑客會用這種技術(shù)侵入其設(shè)備，因為這種攻擊所使用的方法存在很大技術(shù)屏障，足以限制其被用于日常生活。

　　要達(dá)到前述70%的準(zhǔn)確度，黑客需要對系統(tǒng)進(jìn)行大量的“訓(xùn)練”，即提供足夠的用戶行為數(shù)據(jù)。即使是猜一個簡單的4位密碼，研究人員都需要手機(jī)用戶輸入50組已知的密碼，每組輸入5次，系統(tǒng)才能學(xué)習(xí)到用戶握手機(jī)的習(xí)慣，并將猜中密碼的準(zhǔn)確度提高到70%。

　　由于目前行業(yè)里對于手機(jī)內(nèi)置傳感裝置的使用方法不一而足，即使上述研究暴露除了安全漏洞，生產(chǎn)商也很難給出相應(yīng)的應(yīng)對策略。

　　該研究團(tuán)隊發(fā)現(xiàn)，大部分智能設(shè)備都配備，且可以被用來泄露用戶信息的內(nèi)置傳感裝置高達(dá)25種。而用戶的任何一種動作，無論是點(diǎn)擊、翻頁還是長按、短按，都會造成一種獨(dú)特的傾斜角度和運(yùn)動軌跡，所以在一個已知的網(wǎng)頁上，研究人員可以知道用戶在點(diǎn)擊頁面的哪一部分以及他們在輸入的內(nèi)容。

　　該團(tuán)隊聲稱，已經(jīng)針對此安全問題向最大瀏覽器提供商谷歌和蘋果發(fā)出了警告，但至今沒有得到回應(yīng)。