近日，來自上海交通大學，馬薩諸塞州波士頓大學和南佛羅里達大學的一個聯(lián)合研究小組發(fā)現(xiàn)，現(xiàn)在黑客可以通過3D掃描移動的手指來收集密碼等敏感信息。研究人員研發(fā)的技術(shù)WindTalker可以使用信道狀態(tài)信息（CSI）來讀取手機屏幕上的手指運動。

如今，越來越多的人在使用網(wǎng)上銀行和支付，但很少有人能考慮到它的安全風險。雖然計算機黑客一般都使用病毒和惡意軟件攻擊，但他們很有可能轉(zhuǎn)向網(wǎng)絡(luò)支付平臺?，F(xiàn)在，一個研究團隊通過演示黑客們利用WiFi熱點滲透智能手機然后創(chuàng)建一個“按鍵推斷系統(tǒng)”來證明這一點。這種方法能攻破像支付寶之類的第三方支付平臺的支付密碼。計算機協(xié)會發(fā)表論文里說，“當CSI連接公共WiFi就能將你的手機密碼通過WiFi信號傳遞到黑客手中”，論文里還詳細地說明了他們的研究和發(fā)現(xiàn)。

“我們在幾個手機上使用了WindTalker，來攻破支付寶——這個世界上最大的移動支付平臺，”他們說，“而實驗結(jié)果表明，攻擊者能取得密碼的幾率相當高?！?/span>

WindTalker是使用手機自己的觸摸屏來進行攻破的，它可以跟蹤手指在屏幕上方創(chuàng)建的陰影的運動。一旦屏幕覆蓋率被分析出來，它就能確定你的按鍵和密碼。

研究人員解釋說：“由于接收到的信號反映了從墻壁和周圍物體散射的幾個多徑信號的相長干涉和相消干涉，當密碼輸入時手指的移動可以在CSI值的時間序列中產(chǎn)生一個單獨的模式來被識別?！?/span>

該系統(tǒng)需要多個天線和多輸入多輸出（MIMO）天線來收集復(fù)雜波形數(shù)據(jù)?？刂破鬈浖z測小相位差以消除弱信號，并加強其他信號，以構(gòu)建CSI的復(fù)雜圖像。

WindTalker WiFi黑客需要一些專用設(shè)備。而必需的天線在eBay上幾百美金就能買到，如果網(wǎng)絡(luò)犯罪分子不必在您的手機上安裝惡意軟件就可以滲透您的銀行賬戶，那么他們一定會這樣做。在機場，火車站或繁忙的城市中心位置的惡意WiFi熱點可能會危及大量的手機。

由于您連接的安全服務(wù)器的IP地址，黑客可以輕松地確定你什么時候在使用在線支付系統(tǒng)。該軟件提供了三個最可能的PIN號碼或密碼，之后，團隊還可以進一步完善計劃。與其他病毒不同，WindTalker不會留下任何痕跡，這一定對網(wǎng)絡(luò)犯罪分子有著莫大的吸引力。

那我們該怎么應(yīng)對它呢？它其實很簡單，就是確定你的手指在屏幕上的位置。但是如果銀行和在線支付商家將鍵盤排序隨機化，那么這個系統(tǒng)就沒用了。

這樣的話，網(wǎng)絡(luò)罪犯將需要同時攻破手機的瀏覽器和破解銀行的復(fù)雜加密，以獲得訪問缺少的信息，WindTalker就會從簡單變得極其復(fù)雜，黑客們估計就沒興趣了。

智能手機正在極速發(fā)展，3D掃描技術(shù)正日益融入我們的日常生活。隨著VR技術(shù)越來越發(fā)達，相機技術(shù)和UI的紐帶會更牢固。這會給我們帶來巨大的好處，但同時它也讓我們面臨新型的黑客技術(shù)。

“IT安全世界”正在與網(wǎng)絡(luò)犯罪分子和白帽黑客進行激烈的比賽，像WindTalker這樣的團隊一直在尋找新的弱點。其他研究人員已經(jīng)找到了使用手機內(nèi)置麥克風和網(wǎng)絡(luò)攝像頭的方法。隨機化鍵盤一定會馬上頻繁地出現(xiàn)在我們的生活中。不過如果您想在它到來之前卻確保自己的財產(chǎn)安全，就要避免在非安全WiFi連接中使用支付應(yīng)用。

延伸閱讀：3D打印安全漏洞！美國科學家發(fā)現(xiàn)用智能手機能輕易入侵3D打印機