呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 標題：小心手機內的感測器數據可能洩漏你的帳密(含影片示範) 影片示範： https://www.youtube.com/watch?v=w9uH2UPiDN4 摘要：英國新堡大學（Newcastle University）研究人員公佈一種新的竊密手法，透過讀取並分析時下流行的運動感測器資料，來破解網路銀行或其他app的帳號密碼。研究人員指出，拜成本降低之賜，現在愈來愈多手機、平板外接感測器，然而行動應用的安全設計卻未能跟上。例如大部份手機app和網站不需用戶同意，就可以存取這些感測器的資料，因此只要在手機及網頁app植入惡意程式，就能輕鬆竊取感測器的資料，再用來破解各種私密資料，例如打電話的時間、實際活動、甚至用戶觸控動作、密碼及PIN碼。研究人員因此撰寫了一個名為PINlogger.js的JavaScript檔案來蒐集感測器的動作，並以機器學習技術破解Android裝置用戶app的4位數PIN碼。在50個樣本PIN碼中，74%第一次就猜對，第3次猜測準確率為94%，第5次猜測準確率就達到100%。原始資料： How criminals can steal your PIN by tracking the motion of your phone http://www.ncl.ac.uk/press/news/2017/04/sensors/ 引用來源： http://www.ithome.com.tw/news/113410 #58ef0c77b074c564983ea61d

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

標題：小心手機內的感測器數據可能洩漏你的帳密(含影片示範) 影片示範： https://www.youtube.com/watch?v=w9uH2UPiDN4 摘要：英國新堡大學（Newcastle University）研究人員公佈一種新的竊密手法，透過讀取並分析時下流行的運動感測器資料，來破解網路銀行或其他app的帳號密碼。研究人員指出，拜成本降低之賜，現在愈來愈多手機、平板外接感測器，然而行動應用的安全設計卻未能跟上。例如大部份手機app和網站不需用戶同意，就可以存取這些感測器的資料，因此只要在手機及網頁app植入惡意程式，就能輕鬆竊取感測器的資料，再用來破解各種私密資料，例如打電話的時間、實際活動、甚至用戶觸控動作、密碼及PIN碼。研究人員因此撰寫了一個名為PINlogger.js的JavaScript檔案來蒐集感測器的動作，並以機器學習技術破解Android裝置用戶app的4位數PIN碼。在50個樣本PIN碼中，74%第一次就猜對，第3次猜測準確率為94%，第5次猜測準確率就達到100%。原始資料： How criminals can steal your PIN by tracking the motion of your phone http://www.ncl.ac.uk/press/news/2017/04/sensors/ 引用來源： http://www.ithome.com.tw/news/113410

at Thu, Apr 13, 2017 1:28 PM