銀行密碼泄露怎么辦呢？泄密者究竟是誰呢？手機(jī)流氓APP怎么猜出銀行密碼的呢？下面為你揭秘泄密者竟然是自己手機(jī)的傳感器，這個震驚的消息你知道嗎？

手機(jī)太能干了：計算你每天走了多少步，幫你導(dǎo)航，成為你的轉(zhuǎn)賬工具……這是因為它們裝了一套傳感器。手機(jī)傳感器的功能，有些曾被我們忽略了，比如感知光線、濕度、壓力以及氣溫。

手機(jī)傳感器每時每刻都在與人為伴，畢竟絕大多數(shù)人選擇一直開機(jī)，即使手機(jī)鎖著屏。

手機(jī)用它們機(jī)敏的“觀察力”完成我們吩咐，是件好事，但是手機(jī)擁有的過多私人信息，也讓它們成為強(qiáng)大的潛在間諜。看似無害的數(shù)據(jù)，比如氣壓計讀數(shù)的微小變化，也能暴露你的海拔，即位于建筑的第幾層。

也許，這些鬼鬼祟祟的入侵還沒有發(fā)生在你的生活里。但是，學(xué)界和產(chǎn)業(yè)界的相關(guān)研究者們，已經(jīng)開始正試圖阻止入侵的出現(xiàn)。

小傳感器，可能透露大秘密

不用授權(quán)，就能算出你的密碼

手機(jī)中的運(yùn)動探測器，比如加速計和旋轉(zhuǎn)感知陀螺儀，可能成為暗地收集手機(jī)數(shù)據(jù)的主要工具。它們不受訪問許可的保護(hù)。也就是說，一個剛安上的應(yīng)用，不需要得到手機(jī)使用者的授權(quán)，就能訪問這些傳感器。

加州大學(xué)洛杉磯分校的工程師瑪尼·斯里瓦斯塔瓦說，“這些傳感器信號上包含著極多樣的環(huán)境信息。”

舉個例子，觸碰手機(jī)屏幕的不同區(qū)域，會讓手機(jī)傾斜并有些許位移，而手機(jī)上的運(yùn)動傳感器可以識別這種方式。這些傳感器的數(shù)據(jù)用人類的眼睛看也許毫無意義，但復(fù)雜的計算機(jī)程序可以在混亂中識別出各種模式，并將一塊塊運(yùn)動數(shù)據(jù)和對不同按鍵區(qū)域的觸碰匹配起來。

大多數(shù)情況下，這些計算機(jī)程序都使用了機(jī)器學(xué)習(xí)的算法，阿勒·海奇說。研究者給這些程序提供大量運(yùn)動傳感器的數(shù)據(jù)，這些數(shù)據(jù)標(biāo)記有特定運(yùn)動造成的鍵盤觸擊信息，由此訓(xùn)練它們識別鍵盤敲擊。

一些研究者創(chuàng)建了一個叫做TouchLogger的應(yīng)用，該應(yīng)用可以收集方向傳感器的數(shù)據(jù)并用這些數(shù)據(jù)來推測用戶按了手機(jī)上哪些數(shù)字鍵。在2011年舊金山USENIX的關(guān)于安全熱點(diǎn)的專題討論會上，TouchLogger在HTC手機(jī)上進(jìn)行了一次測試，對按鍵輸入的推測正確率達(dá)到了70%以上。

自那以后，科學(xué)家們編寫推測各類手機(jī)上的數(shù)字以及字母按鍵的代碼，做了許多類似的研究。在2016年《普適與移動計算》期刊上，阿勒·海奇和他的同事對這些研究進(jìn)行了評述。按鍵可以泄漏所有信息——從網(wǎng)上銀行的登陸密碼，到一封郵件，或者一條短信的內(nèi)容。

一個更新的應(yīng)用程序利用了一整套手機(jī)傳感器，來猜PIN碼，包括陀螺儀、加速計、光傳感器以及測量磁性的磁強(qiáng)計在內(nèi)的。這個應(yīng)用分析的是手機(jī)的移動軌跡，以及在觸屏?xí)r用戶手指是如何遮住光傳感器的。根據(jù)研究者2017年12月發(fā)布的報告，在50個PIN碼庫的測試中，這個應(yīng)用通過按鍵推測出的答案有99.5％正確。

其他研究者有匹配運(yùn)動數(shù)據(jù)與錄音記錄的，這可以挑出手指點(diǎn)擊屏幕時發(fā)出的較輕的聲音。一個研究小組設(shè)計了一款可以偽裝成簡單筆記工具的惡意軟件。當(dāng)用戶使用該應(yīng)用鍵盤的時候，這個應(yīng)用會悄悄記錄下鍵盤輸入信息、鍵盤輸入時麥克風(fēng)和陀螺儀的數(shù)據(jù)，來學(xué)習(xí)每個按鍵的聲音和移動感覺。

這款應(yīng)用甚至能夠在后臺竊聽用戶在其他應(yīng)用上輸入的敏感信息。根據(jù)2014年美國計算機(jī)協(xié)會召開的無線與移動網(wǎng)絡(luò)的安全隱私會議[3]的記錄，在三星和HTC手機(jī)上測試的時候，這個應(yīng)用推測出的100個4位PIN碼的正確率是94％。

不過阿勒·海奇指出，這個成功率這么高，主要是因為擊鍵解碼技術(shù)是在可控條件下運(yùn)行的。它假設(shè)的大前提是，用戶會用一種特定的姿勢握著手機(jī)或坐下來打字。如果在更廣的范圍中呢？效果還有待觀察。但是，運(yùn)動傳感器或者其他傳感器是否能成為侵犯隱私的新工具？——顯而易見，它們可以。

跟蹤狂：運(yùn)動傳感器

你去了哪，可能見什么人，我都知道

運(yùn)動傳感器同樣可以描繪出一個人旅途，比如一次地鐵或公交行程。一次旅程產(chǎn)生的潛在移動數(shù)據(jù)和更短的、急速的運(yùn)動——比如把手機(jī)從口袋里拿出來——有可分辨的不同。研究者設(shè)計了一款應(yīng)用，從加速計記錄中抓取不同地鐵路線的數(shù)據(jù)標(biāo)志，該研究發(fā)表在了2017年IEEE[1]的《信息取證與安全事務(wù)》期刊上。

實(shí)驗使用了三星手機(jī)，在南京的地鐵上進(jìn)行測驗。這個追蹤應(yīng)用可以從辨認(rèn)出使用者乘坐地鐵的路線，當(dāng)乘坐站數(shù)變多時，應(yīng)用的推測準(zhǔn)確率也相應(yīng)提高。當(dāng)乘車距離是3站、5站、7站的時候，與之對應(yīng)的低正確率是59％、81％和88％。有能力窺探用戶地鐵移動路線的人也許能知道用戶的私人信息，比如用戶的居住地點(diǎn)和工作地點(diǎn)、用戶常去的商店或酒吧、日常行程。如果這個應(yīng)用能追蹤多人的話，窺探者甚至能知道用戶會在哪些地點(diǎn)見哪些人。