有證據表明黑客可以“聽到”您在手機上輸入的密碼

Hackers Can Hear Passwords

有許多方法可以破解密碼。如果服務提供商沒有正確存儲它,黑客可以竊取它。他們還可以誘騙用戶洩露他們的登錄數據,並且由於人們的密碼創建習慣非常可預測 ,騙子們通常會猜測應該保護一些非常敏感數據的憑據。大學研究人員現在發現了另一種更不尋常的竊取密碼的方式 - 通過聲波。

專家團隊由來自英國劍橋大學的Ilia Shumailov,Laurent Simon和Ross Anderson以及來自瑞典林雪平大學的Jeff Yan組成。他們設計並完成了他們所謂的“聲學側通道”攻擊,該攻擊使用智能手機或平板電腦的麥克風來“聽到”受害者在設備的觸摸屏上輸入的內容。

聲學側通道攻擊如何工作?

許多人可能已經對整個想法持懷疑態度。畢竟,在觸摸屏設備上打字的好處之一就是它完全不會發出任何噪音。雖然人耳聽不到手指敲擊玻璃屏幕的聲音,但現代智能手機的麥克風並非如此。

該實驗針對Android設備,當用戶點擊虛擬鍵盤和密碼鍵盤上的按鍵時,這些設備經常會震動。最初,研究人員希望利用這一優勢,但他們很快發現許多銀行應用程序故意禁用此功能。這就是為什麼他們決定走另一條路。

移動電話至少有兩個麥克風 - 一個靠近設備頂部,另一個靠近底部。根據您點擊的屏幕區域,聲音將比其他麥克風更快地到達其中一個麥克風。研究人員認為,通過考慮這種差異,他們可以對用戶點擊的位置進行有根據的猜測。事實證明,他們是對的。

結果和他們擔心的一樣令人驚訝

使用機器學習技術,專家們開發了一個特殊的應用程序,並將其交給45名參與者,他們被告知輸入一些PIN碼和密碼。為了使場景盡可能逼真,實驗在幾個具有不同背景噪聲水平的地方進行。

在錄製了參與者手指發出的聲波之後,專家們使用他們的軟件來確定密碼和PIN碼可能是什麼。令人震驚的73%的四位數PIN碼被破解了10次或更少次。可以預見,密碼的成功率較低,但仍然不是微不足道的。

大約30%的密碼是在少於20次猜測的情況下暴露出來的。請記住,我們所說的密碼長度在7到13個字符之間,由字母和數字組成. 在傳統的暴力場景中破解那些會更加困難。

這聽起來非常嚴峻,但在你恐慌之前,你應該記住,至少目前,研究人員開發的聲學側通道攻擊不太可能讓你處於任何直接的危險之中。

網絡犯罪分子何時開始使用您設備的麥克風來猜測您的密碼?

正如我們已經提到的那樣,攻擊是由學術研究人員設計的,他們使用尖端技術來實現無疑是一個非常令人印象深刻的結果。他們發表的論文確實更詳細地解釋了它是如何工作的,但如果黑客打算使用這種方法,他們就需要開發自己的軟件來監聽和破譯手機屏幕上的水龍頭。這並不容易。

換句話說,將在現實世界中使用此攻擊的第一批黑客組織將非常複雜,可能是國家贊助的,並且很可能是在高調目標之後。為了解除攻擊,他們還需要說服受害者安裝惡意應用並授予其訪問設備麥克風的權限。

即使他們實現了這一點,他們也需要記住,正如研究人員發現的那樣,背景噪音會使猜測密碼的任務變得更加困難。當目標將手放在麥克風上時,根據研究報告,經常發生這種情況,實際上這是不可能的。

所以,就目前而言,聲學側通道攻擊更多的是理論而不是現實世界的威脅。然而,正如專家在論文中指出的那樣,軟件和硬件供應商應該考慮實施一個可視指示器,顯示麥克風是否在使用中。對於用戶來說,建議並沒有真正改變。他們需要小心他們安裝的應用程序和他們授予的權限。

July 16, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
3 + 5是什麼?