刚刚看到的一篇很有意思的文章, 把找出来了, 不过还没有时间细看!!
来自宾州大学与IBM的三名研究人员近日设计了一个名为TapLogger的概念性验证木马程式,能够根据Android手机的动作感应器来推断与纪录使用者在手机萤幕上所输入的文字。
从事该研究的为宾州大学电脑科学暨工程系的Zhi Xu丶Sencun Zhu及IBM研究中心的Kun Bai。他们在报告中指出,现代的智慧型手机都备有各种不同的动作感应器,像是加速器丶陀螺仪或方向感应器等,这些感应器在支援行动介面创新与动作命令上都颇有用处,但由於它们允许第三方应用程式监控智慧型手机的动作变化,因而带来了泄露使用者机密资讯的潜在风险。
这些研究人员针对Android平台所打造的TapLogger木马程式具有学习能力,可先观察使用者触击萤幕与智慧型手机动作之间的关联,按下萤幕上的不同位置会造成感应器的不同回应,例如若按下萤幕左边手机会往左倾斜,按右边则往右倾斜,骇客可根据这些小小的细节与萤幕上所呈现的结果用以推断使用者所输入的文字,像是密码数字等。
於背景执行的TapLogger则有两种运作模式,分别为训练模式与登录模式,当使用者与应用程式互动时,它会使用训练模式,收集使用者触控萤幕时加速器与方向感应器所作的改变,并找出其行为模式;当使用者开始进行机密资料输入时,便会切换成登录模式,利用行为模式分析出使用者所输入的字串。
研究人员指出,不论是在Android丶iOS或黑莓机上都不需要获得许可即可存取加速器或方向感应器,以撷取使用者的开机密码或是所输入的信用卡号码等。他们也提醒,仰赖行动感应器的应用程式愈来愈多,但相关的安全与隐私问题却未受到重视。
阅读(1522) | 评论(0) | 转发(0) |
