小心手机内的感测器数据可能泄漏你的帐密

近年来智能手机、平板及其他穿戴装置搭配感测器，如GPS、相机、加速度计、陀螺仪的应用愈来愈普遍。英国新堡大学（Newcastle University）研究人员公布一种新的窃密手法，透过读取并分析时下流行的运动感测器资料，来破解网络银行或其他app的账号密码。 

研究人员指出，拜成本降低之赐，现在愈来愈多手机、平板外接感测器，然而行动应用的安全设计却未能跟上。例如大部分手机app和网站不需用户同意，就可以存取这些感测器的资料，因此只要在手机及网页app植入恶意程式，就能轻松窃取感测器的资料，再用来破解各种私密资料，例如打电话的时间、实际活动、甚至用户触控动作、密码及PIN码。 

谈到物联网装置的安全性，一般人会担心GPS、麦克风或相机，却忽略了较不起眼的感测器，如加速度计、陀螺仪、距离或旋转感测器等。事实上，这些感测器的资料可被用以推测使用者的行动，例如通电话的时间长短，或是通勤方式（如是走路、开车或搭地铁）。 

以打字而言，不论使用者是一只手拿手机，另一只手输入，或是两只手捧着手机以拇指输入，利用穿戴感测器搜集的装置倾斜角度配合使用者平常的触控特征，就可能破解出用户输入的密码。 

研究人员因此撰写了一个名为PINlogger.js的JavaScript档案来搜集感测器的动作，并以机器学习技术破解Android装置用户app的4位数PIN码。在50个样本PIN码中，74%第一次就猜对，第3次猜测准确率为94%，第5次猜测准确率就达到100%。 

新堡大学研究人员释出的示范影片：

他们的测试还发现，一些浏览器之中，若用户某个页签跑的是植有PINlogger.js的网页，另一个页签同时开启网络银行网页，PINlogger.js这时就可以搜集到用户帐密。而在某些情况下，即使关闭了这些恶意网页，这只程式还是可在手机屏幕被锁住情况下得逞。问题征结在于业界虽然希望安全，却不愿牺牲便利性。 

研究人员指出，目前Mozilla/Firefox及苹果Safari“已经修复部分问题”，但还未能完全解决。现在Firefox已经限制JavaScript只能存取动作及方向感测器上层文件及同源的iframe，Safari则在web view隐藏时不允许存取动作及方向感测器。 

研究人员呼吁，在找到确实解法之前，使用者要养成良好习惯，包括经常变更网站密码、关闭不常用的背景运作app，检查并留意手机app存取的权限，不要从来路不明的线上市集下载app等。