近日，新加坡南洋理工大學（NTU）的研究人員在本月發表了一個研究結論。惡意程序可以自由訪問智能手機上的傳感器數據，收集傳感器產生的高度敏感的信息，并利用這些信息猜測用戶的手機PIN碼。

這項研究背后的三個科學家只是最近的一批研究人員，此前有其他人做過其他的研究，這次的研究者們注意到在Android和iOS等現代移動操作系統的設計中出現了明顯的安全漏洞。研究人員表示，這些操作系統不需要應用程序在訪問傳感器數據之前向用戶請求權限。

為了證明他們的觀點，研究人員創建了一個App,安裝在了安卓測試機上，該應用程序能靜默收集來自六種傳感器中的數據，它們分別是：加速計、陀螺儀、磁力計、近距離傳感器（使用紅外線進行近距離測距的傳感器）和環境光傳感器。

當用戶用手指在觸摸屏上輸入PIN碼并解鎖手機時，研究人員能人工智能算法分析傳感器數據，包括手機的傾斜狀態（空間和角度相關坐標）、附近的環境光，來區分不同按鍵上的按壓，從而推斷出PIN碼。

在他們的實驗中，研究小組僅使用了三個人提供的500個隨機輸入PIN碼操作的傳感器數據，這意味著當數據更多時算法會更準確。

研究團隊表示，根據他們掌握的樣本，使用50個最常見的PIN碼時，算法已能夠以99.5%的準確率在第一次嘗試時就猜中PIN。之前的研究同樣使用50個最常見的PIN碼，但是準確率僅為74%。

當研究團隊試圖在20次嘗試范圍內，猜中全部10000個可能的四位PIN碼組合時，成功率由99.5%下降到83.7%。研究人員表示，采用這種技術可以很容易地破解更長的PIN碼。

南洋理工大學的研究團隊強調，真正的問題在于應用程序不需要事先詢問用戶是否同意，便能直接訪問傳感器的數據。Android和IOS都會受到這個問題的影響。這個設計缺陷可能會被武器化，并被用來竊取更多的密碼。

在他們發布論文之前，有些研究就已經在進行了。

例如在今年九月，普林斯頓大學的研究人員悄悄從手機傳感器收集數據，成功推斷出用戶的地理位置，而無需用戶的GPS數據。

而在今年4月，英國紐卡斯爾大學的科學家創建了一個JavaScript文件，這個文件可以被嵌入到網頁或惡意應用程序中，可以靜靜地記錄手機傳感器數據，使攻擊者能夠推斷出用戶在其設備上輸入的內容。

研究人員希望這個問題能在系統層面解決，而不是在應用層面。隨著這方面的研究越來越多，蘋果和谷歌應該對用戶傳感器進行控制，以便在用戶安裝的App訪問傳感器數據時進行更安全的限制。