A-A+

你的手机锁屏密码真的安全吗?

2015年09月21日 移动

事实上,很多人都有这样认为:我的电脑、手机都非常安全,因为设置了密码。

为什么会这么认为呢?因为密码一般都具有高隐私性,很大程度上只有自己知道,不仅如此,很多人喜欢在很多场景使用同一组密码。然而,手机密码锁真的安全吗?

Android 5.0 系统最近爆出了一个广泛存在漏洞,通过简单几步操作即可绕过锁屏密码进入主屏。

 具体操作方法是:先点击紧急呼救,进入紧急拨号界面,随机输入一组数字,并重复复制粘贴它,数次之后就自动跳回锁屏界面。这时,再打开摄像机,反复地按快门拍照,重复数次之后就可以进入系统了! 

类似可绕过密码的方法由来已久,随手搜索一些关键词,出来的答案能多到让你咋舌。

举两个较早的例子——

iOS6.1曾曝过这样的漏洞:在锁屏界面拨打紧急电话112,然后挂断。拨打紧急电话时按住电源键,几次之后锁屏状态就可以进入联系人列表了。通过联系人列表可以进入相册和语言信息。

三星Galaxy SIII也曝出过这样的漏洞:锁屏状态下点击拨打紧急电话,选择紧急电话联系人菜单,然后按下Home键,并迅速再按下开关键。如果操作成功,再一次按下开关键就会直接看到主页面,而锁屏保护在下一次重启手机前,都不会再次出现。之后网友也不断发现各种奇奇怪怪的操作方式成功绕过锁屏密码。

由此看来,通过一系列特殊的操作达到绕过锁屏密码的方法并不是只有现在才有,而是一直都有,以后也许还会有。而且即使这些漏洞被修复了,一旦别人拿到你的手机,依然有其他各种各样的办法可以破解锁屏密码。

大部分刷过机的安卓手机用户都知道,只要手机中刷入了Recovery,一旦锁屏密码忘记,只需要进入Recovery模式Wipe操作(俗称双清),再次开机时锁屏密码就被清除了。

55fbc27c385ee.jpg

喜欢刷机的网友对这个界面一定不陌生。

对于没有任何刷机经验的小白用户,也有更方便的方法:只要该手机打开了调试模式,借助刷机软件,一台电脑一根数据线即可轻松清除锁屏密码。

目前应用市场上有不少软件,如刷机精灵、安卓刷机专家等刷机软件都自带清除锁屏密码功能,并且是一键完成。以刷机精灵为例:

55fbc325ae328.jpg

(刷机软件中的清除锁屏功能)

除此之外,安卓机还可以用Adb命令的方式清除密码,这里不做赘述,有兴趣的网友可以自行搜索,方法步骤并不难。

iOS系统锁屏密码的破解难度相对较高,起码现在看来如此,但是这也不能代表牢不可破。市面上已经有利用暴力破解的原理专门用来对付iOS锁屏密码的机器。一些手机修理店就有,四位数的简单密码大概十多分钟就可以成功破解。

55fbc385b2bfe.png

可能有人会说,这些方法的前提是别人拿到你的手机,并且需要一定时间才能破解。

那么,在拿不到手机的情况下会如何获取密码呢?

早在去年的ISC的移动安全论坛上,来自美国的副教授付新文博士做了一场名为《无数双“眼睛”都看到你的密码啦!》的演讲。演讲中完整的讲解了用手机摄像头破解密码的整个过程,原理十分简单。

如果手机摄像头拍到你的手指点击屏幕的过程,就可以利用计算机分析出你的手指移动和上下点击的规律,进而分析出你在哪个时间点击了哪个键盘符,就可以完整的分析出你输入了什么!

当然,整个实施过程也并不麻烦,大概需要七个步骤:录像、预处理、识别触摸侦、获取Homography矩阵、定位触摸指尖、估计触摸区域、识别触摸键。

最让人惊讶的是,其间还提到了他们的另一个实验,就是远程利用手机的摄像头攻击ipad的锁屏密码:

摄像头距离iPad2.5米远,可以在iPad的左边、右边、前面,利用完全自动化破解iPad的锁屏密码第一次成功率达到了82%,而利用iPhone摄像头对ipad攻击获得锁屏密码的成功率竟然达到了100%。

平常人确实没有自动识别的机器,但是你输密码的时候我可以偷拍录下来吧?实在不行直接用眼睛偷瞟也是可以的。总之,密码泄漏的危机无处不在,也许在你的密码已经泄露,只是还没有被发现而已。

要讨论手机密码安不安全,其实从本质上来说是讨论“密码”这个东西安不安全。

对于密码来说,无论是手机、电脑或是其他应用,安全性和便捷性永远是对立的。密码安全性的提升和破解技术的更新永远是在相互博弈,这也直接导致了近年来生物别技术异常火热。和密码相比,生物特征不存在泄露和忘记的问题,因此被各个行业所追捧。

不仅国内互联网三巨头在人脸识别上做出一系列动作,招商银行更是直接在柜台采用人脸识别,将该技术正式推向金融领域,在互联网应用领域也有“洋葱令牌”这样的产品直接打出了“干掉密码”的口号,实现企业内网和APP应用去密码化。且不说这个产品到底能不能"干掉密码”,有一群人在不断推动去密码化进程的背后,也就说明了身份验证方式的发展趋势。很明显,密码已经难以很好的承载互联网的安全需求。

注:iOS 9 系统的手机锁屏密码已经由原来的四位数改为了6位数。目前许多用户抱怨不习惯六位数的密码而经常错输成四位。在我看来,也许正是因为这种不习惯,导致相当一部分用户开始选择使用并习惯指纹识别解锁,毕竟iPhone的指纹识别的用户体验还是相当不错的。

55fbca2fea011.jpg