充電器能盜取手機隱私 移動支付風險防不勝防
- 發佈時間:2014-11-05 09:53:00 來源:中國品質報 責任編輯:陳晶
手指敲密碼動作可被視覺新技術破譯、淘寶上竟可買到偷iPhone隱私的充電器、移動支付成安全攻防的新戰場……在9月24日至25日召開的2014中國網際網路安全大會(ISC2014)上,移動安全分論壇格外引人關注:移動安全問題日益緊迫,已成為可怕的“黑洞”。
近期被曝光的蘋果“後門”事件,令移動安全問題成為公眾關注的焦點。在移動安全分論壇上,美國馬薩諸塞大學羅威爾分校付新文教授做了題為《無數雙“眼睛”都看到你的密碼啦!》的演講。付新文表示,“智慧設備在我們的生活中無所不在,很大一部分智慧設備都配有相機,但這些相機可能會被惡意使用,窺覷我們的隱私。”
在演講時,付新文通過手機攝像頭,採用識別觸摸幀、獲取Homography矩陣、定位觸摸指尖、估計觸摸區域、識別觸摸鍵等7個步驟獲取賬號密碼等關鍵資訊。令人震驚的是,這種通過攝像頭髮起的攻擊方式成功率相當高。付新文半開玩笑地説,“用iPhone向iPad發起攻擊,獲取賬號密碼的成功率是100%,可見iPhone的攝像頭還是很不錯的。”
由於這種攻擊方式非常隱蔽,而且成功率比較高,因此民眾應當具備一定的防護措施。付新文表示,智慧隱私提升鍵盤(PEK)就是一種可行性比較高的防護方式。這種鍵盤只有在輸密碼時彈出隨機鍵盤,這樣可干擾駭客對觸摸鍵盤位置的判斷,極大降低安全隱患。
360移動安全研究員高雪峰在演講中向大家揭秘了一個更令人震驚的消息,淘寶上可以買到偷iPhone隱私的充電器。高雪峰介紹説,iPhone手機特別是越獄手機的通話記錄、照片、賬戶密碼等都可被輕鬆獲取,而這種利用蘋果後門的充電器造價十分低廉。
高雪峰提醒,通過蘋果最近被曝光的後門,可以製作出一款“邪惡”的充電器。用這種充電器給手機充電時,僅需從燈亮到燈滅的短短十幾分鐘時間,手機中的數據就通過一些底層通訊軟體被竊取到“充電器”中。嚴重的是,手機還會被隱秘安裝軟體,無需經過使用者的允許。