来自上海交通大学,马萨诸塞州波士顿大学和南佛罗里达大学的一个联合研究小组发现,现在黑客可以通过3D扫描移动的手指来收集密码等敏感信息。研究人员研发的技术WindTalker可以使用信道状态信息(CSI)来读取手机屏幕上的手指运动。
越来越多的人在使用网上银行和支付,但很少有人能考虑到它的安全风险。虽然计算机黑客一般都使用病毒和恶意软件攻击,但他们很有可能转向网络支付平台。现在,一个研究团队通过演示黑客们利用WiFi热点渗透智能手机然后创建一个“按键推断系统”来证明这一点。这种方法能攻破像支付宝之类的第三方支付平台的支付密码。计算机协会发表论文里说,“当CSI连接公共WiFi就能将你的手机密码通过WiFi信号传递到黑客手中”,论文里还详细地说明了他们的研究和发现。
“我们在几个手机上使用了WindTalker,来攻破支付宝——这个世界上最大的移动支付平台,”他们说,“而实验结果表明,攻击者能取得密码的几率相当高。”
WindTalker是使用手机自己的触摸屏来进行攻破的,它可以跟踪手指在屏幕上方创建的阴影的运动。一旦屏幕覆盖率被分析出来,它就能确定你的按键和密码。
研究人员解释说:“由于接收到的信号反映了从墙壁和周围物体散射的几个多径信号的相长干涉和相消干涉,当密码输入时手指的移动可以在CSI值的时间序列中产生一个单独的模式来被识别。”
该系统需要多个天线和多输入多输出(MIMO)天线来收集复杂波形数据。控制器软件检测小相位差以消除弱信号,并加强其他信号,以构建CSI的复杂图像。
WindTalker WiFi黑客需要一些专用设备。而必需的天线在eBay上几百美金就能买到,如果网络犯罪分子不必在您的手机上安装恶意软件就可以渗透您的银行账户,那么他们一定会这样做。在机场,火车站或繁忙的城市中心位置的恶意WiFi热点可能会危及大量的手机。
由于您连接的安全服务器的IP地址,黑客可以轻松地确定你什么时候在使用在线支付系统。该软件提供了三个最可能的PIN号码或密码,之后,团队还可以进一步完善计划。与其他病毒不同,WindTalker不会留下任何痕迹,这一定对网络犯罪分子有着莫大的吸引力。
那我们该怎么应对它呢?它其实很简单,就是确定你的手指在屏幕上的位置。但是如果银行和在线支付商家将键盘排序随机化,那么这个系统就没用了。
这样的话,网络罪犯将需要同时攻破手机的浏览器和破解银行的复杂加密,以获得访问缺少的信息,WindTalker就会从简单变得极其复杂,黑客们估计就没兴趣了。
智能手机正在极速发展,3D扫描技术正日益融入我们的日常生活。随着VR技术越来越发达,相机技术和UI的纽带会更牢固。这会给我们带来巨大的好处,但同时它也让我们面临新型的黑客技术。
“IT安全世界”正在与网络犯罪分子和白帽黑客进行激烈的比赛,像WindTalker这样的团队一直在寻找新的弱点。其他研究人员已经找到了使用手机内置麦克风和网络摄像头的方法。随机化键盘一定会马上频繁地出现在我们的生活中。不过如果您想在它到来之前却确保自己的财产安全,就要避免在非安全WiFi连接中使用支付应用。