有证据表明黑客可以“听到”您在手机上输入的密码

Hackers Can Hear Passwords

有许多方法可以破解密码。如果服务提供商没有正确存储它,黑客可以窃取它。他们还可以诱骗用户泄露他们的登录数据,并且由于人们的密码创建习惯非常可预测 ,骗子们通常会猜测应该保护一些非常敏感数据的凭据。大学研究人员现在发现了另一种更不寻常的窃取密码的方式 - 通过声波。

专家团队由来自英国剑桥大学的Ilia Shumailov,Laurent Simon和Ross Anderson以及来自瑞典林雪平大学的Jeff Yan组成。他们设计并完成了他们所谓的“声学侧通道”攻击,该攻击使用智能手机或平板电脑的麦克风来“听到”受害者在设备的触摸屏上输入的内容。

声学侧通道攻击如何工作?

许多人可能已经对整个想法持怀疑态度。毕竟,在触摸屏设备上打字的好处之一就是它完全不会发出任何噪音。虽然人耳听不到手指敲击玻璃屏幕的声音,但现代智能手机的麦克风并非如此。

该实验针对Android设备,当用户点击虚拟键盘和密码键盘上的按键时,这些设备经常会震动。最初,研究人员希望利用这一优势,但他们很快发现许多银行应用程序故意禁用此功能。这就是为什么他们决定走另一条路。

移动电话至少有两个麦克风 - 一个靠近设备顶部,另一个靠近底部。根据您点击的屏幕区域,声音将比其他麦克风更快地到达其中一个麦克风。研究人员认为,通过考虑这种差异,他们可以对用户点击的位置进行有根据的猜测。事实证明,他们是对的。

结果和他们担心的一样令人惊讶

使用机器学习技术,专家们开发了一个特殊的应用程序,并将其交给45名参与者,他们被告知输入一些PIN码和密码。为了使场景尽可能逼真,实验在几个具有不同背景噪声水平的地方进行。

在录制了参与者手指发出的声波之后,专家们使用他们的软件来确定密码和PIN码可能是什么。令人震惊的73%的四位数PIN码被破解了10次或更少次。可以预见,密码的成功率较低,但仍然不是微不足道的。

大约30%的密码是在少于20次猜测的情况下暴露出来的。请记住,我们所说的密码长度在7到13个字符之间,由字母和数字组成. 在传统的暴力场景中破解那些会更加困难。

这听起来非常严峻,但在你恐慌之前,你应该记住,至少目前,研究人员开发的声学侧通道攻击不太可能让你处于任何直接的危险之中。

网络犯罪分子何时开始使用您设备的麦克风来猜测您的密码?

正如我们已经提到的那样,攻击是由学术研究人员设计的,他们使用尖端技术来实现无疑是一个非常令人印象深刻的结果。他们发表的论文确实更详细地解释了它是如何工作的,但如果黑客打算使用这种方法,他们就需要开发自己的软件来监听和破译手机屏幕上的水龙头。这并不容易。

换句话说,将在现实世界中使用此攻击的第一批黑客组织将非常复杂,可能是国家赞助的,并且很可能是在高调目标之后。为了解除攻击,他们还需要说服受害者安装恶意应用并授予其访问设备麦克风的权限。

即使他们实现了这一点,他们也需要记住,正如研究人员发现的那样,背景噪音会使猜测密码的任务变得更加困难。当目标将手放在麦克风上时,根据研究报告,经常发生这种情况,实际上这是不可能的。

所以,就目前而言,声学侧通道攻击更多的是理论而不是现实世界的威胁。然而,正如专家在论文中指出的那样,软件和硬件供应商应该考虑实施一个可视指示器,显示麦克风是否在使用中。对于用户来说,建议并没有真正改变。他们需要小心他们安装的应用程序和他们授予的权限。

July 16, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
10 + 9是什么?