來自賓州大學與IBM的三名研究人員近日設計了一個名為TapLogger的概念性驗證木馬程式,能夠根據Android手機的動作感應器來推斷與紀錄使用者在手機螢幕上所輸入的文字。
從事該研究的為賓州大學電腦科學暨工程系的Zhi Xu、Sencun Zhu及IBM研究中心的Kun Bai。他們在報告中指出,現代的智慧型手機都備有各種不同的動作感應器,像是加速器、陀螺儀或方向感應器等,這些感應器在支援行動介面創新與動作命令上都頗有用處,但由於它們允許第三方應用程式監控智慧型手機的動作變化,因而帶來了洩露使用者機密資訊的潛在風險。
這些研究人員針對Android平台所打造的TapLogger木馬程式具有學習能力,可先觀察使用者觸擊螢幕與智慧型手機動作之間的關聯,按下螢幕上的不同位置會造成感應器的不同回應,例如若按下螢幕左邊手機會往左傾斜,按右邊則往右傾斜,駭客可根據這些小小的細節與螢幕上所呈現的結果用以推斷使用者所輸入的文字,像是密碼數字等。
於背景執行的TapLogger則有兩種運作模式,分別為訓練模式與登錄模式,當使用者與應用程式互動時,它會使用訓練模式,收集使用者觸控螢幕時加速器與方向感應器所作的改變,並找出其行為模式;當使用者開始進行機密資料輸入時,便會切換成登錄模式,利用行為模式分析出使用者所輸入的字串。
研究人員指出,不論是在Android、iOS或黑莓機上都不需要獲得許可即可存取加速器或方向感應器,以擷取使用者的開機密碼或是所輸入的信用卡號碼等。他們也提醒,仰賴行動感應器的應用程式愈來愈多,但相關的安全與隱私問題卻未受到重視。(編譯/陳曉莉)
熱門新聞
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-23
Advertisement