不多说，直接攻击演示视频！ 最近，研究人员发现了一个恶意的JavaScript文件。在用户不知情的情况下，可以在网站或应用程序上静默加载此恶意JS文件。当用户使用智能手机访问网站或应用程序时，它可以通过后台的各种手机传感器访问和收集用户的手机。在数据中，攻击者将能够使用收集的数据破解用户的密码或PIN。 新的攻击技术是由英国纽卡斯尔大学的安全研究团队发现的，研究人员表示，恶意脚本可以使用25种不同的传感器来收集数据。在整合收集的数据之后，攻击者可以推断目标用户在手机上输入的内容。 并非所有传感器都受操作系统权限的约束 这种攻击技术的存在主要是因为某些应用程序不受移动操作系统的权限限制，例如网络浏览器，这样的应用程序将能够访问移动电话的所有传感器数据。 根据智能手机内置的当前许可模式，当应用需要访问GPS，相机或麦克风等传感器时，手机会要求用户授权相应的操作，但当应用程序访问手机的加速度计时，陀螺仪，NFC和重力传感器当数据在设备中时，手机不会向用户发出许可请求。由于硬件成本低，这些传感器正在成为现代智能手机的标准设备，但是更新和升级移动操作系统的步伐并没有跟上，因此出现了这个问题。 攻击依赖于恶意JavaScript代码 为了验证这种攻击，研究人员编写了一个名为PINlogger.js的JavaScript文件，用于访问不受系统权限控制的传感器，并检索传感器使用日志等数据。

如果用户允许浏览器或受感染的应用程序在手机后台运行，则当用户使用其他应用程序时，PINlogger.js脚本将继续收集传感器数据。此时，用户随时输入的PIN码和密码将由PINlogger.js记录，数据将被发送到攻击者控制的服务器。随着手机中安装越来越多的传感器，攻击者可以收集的数据量将会更大，这也将导致攻击者破解用户输入的成功率更高。 研究小组的Siamak Shahandashti博士说：“这就像玩拼图。你获得的信息越多，拼写完整图片的速度就越快。” 攻击者猜测PIN码非常准确。 研究人员说，他们训练的人工智能网络只需通过收听手机运动和方向传感器的数据流就可以破解用户的密码（这些数据不需要特殊的访问权限）。据了解，他们共测试了50多个用户设备，在第一次测试中，四位数PIN码的成功率高达74％。在对神经网络进行进一步训练后，第二次和第三次测试的成功率分别增加到86％和94％。此外，研究人员已经升级了破解算法，现在能够处理字母数字和字母数字密码。 根据研究人员的说法，这项研究的目的是增加供应商和用户对智能手机传感器访问的关注，因为目前的移动操作系统供应商还没有建立标准的访问控制模型来管理智能手机传感器。访问权限。 一些浏览器厂商已经解决了这个问题 研究小组已向多家浏览器供应商报告此问题。根据Mozilla的声明，自v46版本以来，Firefox已限制JavaScript脚本访问手机的运动和方向传感器。此外，Apple在iOS 9.3的Safari浏览器中也采取了类似的限制。但是，请注意，此问题仍存在于Chrome浏览器中。

在这方面，研究人员表示，他们希望看到供应商在未来从系统层面解决这个问题，而不仅仅是在应用程序中设置适当的权限限制。 后来的话 关于这项研究的完整报告已发表在国际信息安全期刊上，感兴趣的学生可以点击它。 [转门] *参考源：bleepingcomputer，FB小编Alpha_h4ck编译 黑客业务列表介绍和一般分类： 类别：攻击入侵破解开发 1：攻击业务订单：暂时取消所有此类业务订单[仅销售常规IDC流量] 2：入侵业务清单：包括网站源代码，办公系统，黑色系统，教育系统等。 3：破解业务类：软件，加密文件，二次打包，脱壳等。 4：二次开发业务清单：软件二次开发，源代码二次开发等 5：其他业务订单：特洛伊木马[通过所有防病毒]，远程控制，特殊软件等 备注：未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间，请在咨询前阅读：业务交易流程及相关说明 注意:仅接受正式业务，个人无权接受。收集此内容。