近日，安全研究人员发现了一种黑客入侵智能手机的新方式，即使用户手机有PIN码和密码保护，黑客也只需要通过窥探其输入手机密码时倾斜手机的角度就可以猜出用户的密码。而且首次尝试猜中密码的概率就已经高达74%！

现代设备充满各种传感器装置（即GPS、摄像头、麦克风、加速度计、磁力计、、陀螺仪、计步器以及NFC等），黑客是如何利用这些装置收集有关用户的活动数据的呢？

根据英国纽卡斯尔大学的网络研究人员介绍，他们研究出了一种可以猜出用户手机密码的方法：通过分析用户倾斜手机的方式，就可以轻松地窃取用户四位数的PIN码。

由于他们需要进行测试来证明这一理论，结果在首次尝试中就能猜中四位数PIN码的概率高达74%。你觉得进一步尝试的话，结果会更好还是更糟呢？结果是尝试5次的命中率达到了100%。

英国纽卡斯尔大学计算机科学院研究员Maryam Mehrnezhad博士解释称：

现在，大多数智能手机、平板电脑以及其他可穿戴设备都配备了大量的传感器装置，从众所周知的GPS系统、摄像头和麦克风到陀螺仪、三星微定位proximity、近距离无线通讯技术NFC、旋转感应器和加速计。但是，由于大部分移动应用程序和网站不需要获取用户许可就可以获取隐私信息，恶意程序就可以秘密“窃听”你的传感器数据，并使用这些数据来发现关于用户的敏感信息，例如通话时间、身体活动情况、甚至是你的接触操作，如PIN和各种密码等。

更深层次的问题

一个更令人担忧的细节是，在某些浏览器上，研究人员发现如果你在手机或平板电脑上打开一个托管恶意代码的网页，然后在没有关闭上一个页面的情况下打开你的网上银行账户，那么网络犯罪分子就可以窥探你输入的所有个人详细信息。

研究人员称，

更糟糕的是，在某些情况下，除非你彻底关闭这些恶意网页，否则在犯罪分子锁定你手机的同时，就会窥探你所有的网络行为，窃取隐私信息。

该研究团队发现，可以用来获取用户数据的内置传感装置高达25种。研究人员在对此次攻击进行概念证明（PoC）的过程中，开发了一个恶意脚本来从iOS设备中收集传感器数据。该脚本可以被嵌入到移动应用程序中或加载到受害者访问的网站上，也就是说，攻击者只需要诱导受害者访问含有恶意脚本的网站就可以顺利安装恶意应用程序。

在这种情况下，无论用户的任何一次操作（点击、翻页、输入密码）都会造成一种独特的倾斜角度和运动轨迹，而研究人员只需要根据恶意脚本从传感器中访问的数据，就可以分析出用户使用的PIN码或密码等信息。

研究人员在第一次尝试时能够猜出四位数PIN码的准确度为74%，第五次尝试的精确度已经达到了100%。这些结果是根据50个设备的运动和方向传感器所收集和记录的数据而获得的。因为像地理位置信息、摄像头和麦克风等都属于敏感信息，需要用户授权，而运动和方向传感器所收集的关于手机倾斜角度、手机屏幕大小等数据一般不被认为是敏感信息，所以不需要任何特殊的访问权限。

目前，研究人员已经将他们的发现报告给了谷歌、苹果等领先的浏览器提供商，Mozilla和Safari也已经解决了部分问题。无论如何，研究人员正在与IT行业的相关企业合作，共同寻找一种正确的解决方案来减轻这种攻击威胁。