充电器能盗取手机隐私 移动支付风险防不胜防
- 发布时间:2014-11-05 09:53:00 来源:中国质量报 责任编辑:陈晶
手指敲密码动作可被视觉新技术破译、淘宝上竟可买到偷iPhone隐私的充电器、移动支付成安全攻防的新战场……在9月24日至25日召开的2014中国互联网安全大会(ISC2014)上,移动安全分论坛格外引人关注:移动安全问题日益紧迫,已成为可怕的“黑洞”。
近期被曝光的苹果“后门”事件,令移动安全问题成为公众关注的焦点。在移动安全分论坛上,美国马萨诸塞大学罗威尔分校付新文教授做了题为《无数双“眼睛”都看到你的密码啦!》的演讲。付新文表示,“智能设备在我们的生活中无所不在,很大一部分智能设备都配有相机,但这些相机可能会被恶意使用,窥觑我们的隐私。”
在演讲时,付新文通过手机摄像头,采用识别触摸帧、获取Homography矩阵、定位触摸指尖、估计触摸区域、识别触摸键等7个步骤获取账号密码等关键信息。令人震惊的是,这种通过摄像头发起的攻击方式成功率相当高。付新文半开玩笑地说,“用iPhone向iPad发起攻击,获取账号密码的成功率是100%,可见iPhone的摄像头还是很不错的。”
由于这种攻击方式非常隐蔽,而且成功率比较高,因此民众应当具备一定的防护措施。付新文表示,智能隐私提升键盘(PEK)就是一种可行性比较高的防护方式。这种键盘只有在输密码时弹出随机键盘,这样可干扰黑客对触摸键盘位置的判断,极大降低安全隐患。
360移动安全研究员高雪峰在演讲中向大家揭秘了一个更令人震惊的消息,淘宝上可以买到偷iPhone隐私的充电器。高雪峰介绍说,iPhone手机特别是越狱手机的通话记录、照片、账户密码等都可被轻松获取,而这种利用苹果后门的充电器造价十分低廉。
高雪峰提醒,通过苹果最近被曝光的后门,可以制作出一款“邪恶”的充电器。用这种充电器给手机充电时,仅需从灯亮到灯灭的短短十几分钟时间,手机中的数据就通过一些底层通讯软件被窃取到“充电器”中。严重的是,手机还会被隐秘安装软件,无需经过使用者的允许。