生活中我们熟知的手机传感器有很多种，传感器的作用是使我们在前台操作的更加方便流畅。近期，英国纽卡斯尔大学的一个安全研究团队发现了一种恶意JavaScript文件，能够在用户毫不知情的情况下在网站或App中悄悄进行加载，并通过各种手机传感器来访问并收集用户手机中的数据，破解用户的密码或PIN码。

　　手机传感器嗅探用户密码

　　这种恶意JS文件能够在用户毫不知情的情况下在网站或App中悄悄进行加载，当用户使用智能手机访问网站或App时，它就能够在后台通过各种手机传感器来访问并收集用户手机中的数据，攻击者将能够利用这些收集到的数据来破解用户的密码或PIN码。研究人员表示，这种恶意脚本能够利用25种不同的传感器来收集数据，在对这些收集到的数据进行整合之后，攻击者将能够推断出目标用户在手机上所输入的内容。

　　根据Mozilla公司的公告，火狐浏览器已经从v46版本开始限制JavaScript脚本访问手机的运动和方向传感器。除此之外，苹果公司也已经在iOS9．3的Safari浏览器中采取了类似的限制措施。但需要注意的是，目前Chrome浏览器仍然存在这一问题。

　　这种攻击技术之所以能够存在，主要是因为某些应用程序不会受到手机操作系统的权限限制，例如Web浏览器，而像这样的App将能够访问手机所有的传感器数据。根据目前智能手机内置的权限模型，当App需要访问例如GPS、照相机或麦克风这样的传感器时，手机会要求用户对相应操作赋权，但是当App访问手机的加速计、陀螺仪、NFC和重力感应器的数据时，手机并不会向用户发出权限请求。

　　由于硬件成本不高，这些传感器正在成为现代智能手机的标配，但移动端操作系统更新升级的脚步却没有跟上，所以才导致了这一问题的出现。为了验证这种攻击，研究人员编写了一个名叫PINlogger．js的JavaScript文件，这个文件能够访问这些不受系统权限控制的传感器，并从中获取传感器的使用日志等数据。

　　如果用户允许浏览器或者已被感染的App在手机后台运行的话，那么当用户在使用其他的App时，PINlogger．js脚本就会持续收集传感器数据。此时，用户在任何时候所输入的PIN码以及密码都会被PINlogger．js记录下来，而这些数据将会发送至攻击者所控制的服务器。由于手机中配备的传感器越来越多，所以攻击者可以收集到的数据量也就会更大，这也将导致攻击者破解用户输入内容的成功率就会更高。

　　转载请注明来源：赛斯维传感器网（www.sensorway.cn）