根據arXiv上的一篇論文,一種名為“WiKI-Eve”的新攻擊方式能夠攔截連線到Wi-Fi路由器的智慧手機的明文傳輸,並以高達90%的準確率推斷出單個數字按鍵,從而竊取到受害者的數字密碼。
該攻擊方式由中國的湖南大學、復旦大學以及新加坡的南洋理工大學三所名校的研究人員提出。為了減少通道負擔和訊號傳輸成本,波束成形反饋資訊是以明文形式傳輸的,因此可能被任何具備監聽模式的網路卡捕獲。而“WiKI-Eve” 正是透過截獲物聯網移動終端裝置(如智慧手機、平板電腦)與Wi-Fi路由器之間傳遞的波束成形反饋資訊,並設計了密碼推理演算法來竊取輸入的解鎖密碼。
該研究團隊發現,識別數字按鍵的準確率達到了90%,解密6位數的數字密碼的準確率為85%,推斷複雜應用程式密碼的準確率約為66%。對攻擊效果影響顯著的一點是,攻擊者與無線接入點之間的距離,將距離從1米增加到10米,猜測成功率下降了23%。研究人員還試驗了獲取微信支付密碼的情況,他們模擬了一個真實的攻擊場景,結果顯示WiKI-Eve能以65.8%的準確率正確推斷出密碼。另外需要注意到,雖然此種攻擊方式只適用於數字密碼,但現實中純數字密碼不在少數。
為防範此類攻擊,需要增強無線接入點和智慧手機應用程序的安全性,例如資料流量加密、鍵盤隨機化等。但加密資料流量會使系統變得複雜,鍵盤隨機化這一間接防禦機制則將複雜性轉移給了使用者,可能會給依賴肌肉記憶輸入密碼的使用者帶來不便。
編輯:左右裡
資訊來源:arXiv
轉載請註明出處和本文連結