喬治亞理工學院(Georgia Tech University)的電腦科學教授Patrick Traynor在上周的ACM Conference on Computer and Communications Security會議上描述如何利用iPhone來側錄個人電腦所輸入的字句,且其辨識度高達80%。
駭客必須先引誘用戶下載一個iPhone應用程式,這是一個可用來偵測鍵盤的惡意程式,當使用者把iPhone放在接近電腦的地方時,該程式就會開始紀錄與分析使用者所輸入的字串。
Traynor一開始是以iPhone 3GS作實驗,但結果難以辨識,因此他改用具備陀螺儀來清除加速計噪音的iPhone 4,採用「聽音辨識」的方式來分析所輸入的字母位置,然後透過預載的字典比對出結果。
以在鍵盤上輸入canoe為例,它會兩兩比對,先分析ca的位置與其相對位置,然後再分析an、no、oe,把可能的結果輸入字典來找到正確的文字。由於它是經由字母的相對位置進行辨識,因此必須要有兩個以上的字母才能找到正確的文字。
Traynor說,過去有人利用手機麥克風來側錄鍵盤,但麥克風太敏銳,每秒震動可達4.4萬次,而加速器的每秒震動只有100次,而且,行動作業系統為了避免駭客透過麥克風功能進行側錄,已加強其安全措施在使用者安裝欲存取麥克風功能的應用程式時提出警告,不過並未對加速計的存取作出警告。
不過,要執行該攻擊並不容易,而且有效側錄範圍只在3吋內,Traynor則是建議行動作業系統業者改善對加速計的安全保護。(編譯/陳曉莉)
查看全部回復
我也來說兩句