恶意的JavaScript代码可以通过运动传感器窃取PIN码
大多数人通常会忽略通过智能手机和平板电脑存储和访问的数据量。但是,这成为黑客和安全研究人员的宝库,最终可能会产生一些令人大开眼界的发现。实际上,最新的攻击点是在2015年向Chromium团队报告的,重点是恶意JavaScript代码直接从浏览器访问移动方向和运动传感器的功能。
乍一看,这听起来根本不是恶意的。许多网站都使用该运动传感器数据来让您在智能手机上玩游戏,甚至观看球形视频。您可以在此演示页面上看到使用运动感应数据(不是恶意软件)对浏览器进行的示例测试。但是,安全研究人员已经能够提出一种使用运动感应数据来实际猜测您的PIN码的算法。
是的,提供PINLogger.js代码的研究人员说,他们对50个4位PIN的测试在第一次尝试时的成功率为74%。在第二次尝试中此成功率增加到86%,然后在第三次尝试中再次增加到94%。恶意代码已加载到iframe中,因此,当用户转到其他标签(例如银行应用程序或银行网站)时,该代码仍会加载到最小化标签中。
这使攻击者可以收集运动传感器上的数据,然后可以使用该数据找出您的PIN码。Chromium小组将其归为低严重性安全威胁,并且该错误报告至今仍未解决。截至3月30日,团队表示他们担心实施一些限制,因为这会影响“嵌入式球形视频,使用方向数据的嵌入式地图等”。
他们在4月份表示,他们将坚持不懈地进行更改,直到有迹象表明正在进行的攻击为止,有证据表明该攻击可用于检测击键,或者他们可以提出一种不会破坏合法使用案例(例如球形)的解决方案视频和嵌入式地图。