USENIXSecurity的研究團隊發布了自己的相關研究，并在Youtube上詳細解釋了破譯密碼的流程和原理，發現僅需要憑借小小的USB充電線，就能夠快速獲取受害者的手機密碼，少量嘗試破解之后得到正確密碼的概率高達96.9%！MqTednc

MqTednc

圖1：被安置在各處的充電站和USB充電線MqTednc

攻擊者通過USB電源線的旁道來推斷用戶與觸摸屏上的內容的交互，甚至可以精確識別觸摸屏上虛擬按鈕的位置,從而竊取極其敏感的數據,例如用戶私密密碼，銀行卡賬戶密碼等。USENIXSecurity將這種安全威脅稱為Charger-Surfing。MqTednc

Charger-Surfing的威脅模型

Charger-Surfing利用智能手機中電力線旁道的漏洞，假設用戶正在使用公共場所的，非私人的USB充電器為他們的手機充電，或者是用戶自帶的USB線，但是電源是來自于像機場，酒店，商場等公共場所的第三方電源。MqTednc

這些充電站提供的充電器有可能被第三方控制，被充電設備的功耗和電壓可以通過隱藏在接口后面的設備進行監控，這些電壓監測器不會對充電速度造成任何不利影響，因此非常隱蔽。MqTednc

隱藏的低功耗微控制器可以通過記錄電源軌跡，再以無線方式傳輸到后臺分析。MqTednc

MqTednc

圖2：攻擊者后端控制第三方充電站對充電手機信息的竊取MqTednc

Charger-Surfing利用電源線推斷智能手機密碼的方法

MqTednc

圖3：Charger-Surfing的工作流程MqTednc

1：從充電器獲取原始信號：MqTednc

USENIXSecurity的研究人員為智能手機充電時，采集USB電纜上的原始信號并觀察；發現智能手機處于睡眠狀態時電流利用率最小。但是用戶一旦開始點擊屏幕輸入密碼的時候，電流利用率就會立即增加，并且每次按下按鈕時，信號都會呈現明顯的上升和下降。MqTednc

MqTednc

圖4：手機解鎖的平滑電源軌跡MqTednc

2：按鈕序列檢測：MqTednc

當用戶按下觸摸屏上的虛擬按鈕時,移動操作系統會確定輸入的位置,并通過點亮按鈕(或在其周圍播放動畫)來了解用戶。通過文本或數字輸入，在屏幕上顯示相應的字母或數字。MqTednc

3：獨立按鍵隔離：MqTednc

檢測單個壓力機的過程還利用了移動平均濾波器和電平檢測器的組合。當通過移動平均濾波器時，按鈕序列顯示尖峰，用于分析。MqTednc

4：神經網絡處理信號明確目標設備模型：MqTednc

Charger-Surfing會根據具體手機型號的特點，檢測手機類型。因為屏幕技術、屏幕分辨率和手機內的不同組件(CPU、GPU、屏幕驅動程序等)會導致截然不同的電源跟蹤模式如圖5所示。MqTednc

MqTednc

圖5：（a）摩托羅拉G4的LCD屏和（b）三星GalaxyNexusAMOLED屏幕上下左右各部分電壓讀取MqTednc

為了完成這個識別任務，研究人員使用了一個用隔離的按鈕按下信號訓練的神經網絡。原始信號通過高通濾波器以保留與手機型號高度相關的高頻分量，同時消除可能由亮度變化、充電/充電或不同充電引起的信息較少的DC偏移率。MqTednc

5：選擇準確的按鈕識別模型，特定手機型號進行神經網絡預處理：MqTednc

對電源信號進行縮放和標準化。從USB電源線收集的信號通常在0到100mV之間,通過高通濾波器后,信號大多分布在-50mV和50mV之間。我們使用為目標手機模型設計的縮放器對數據進行預處理,該縮放器是通過使用來自對手自己設備的一些樣本進行預訓練而創建的。結果信號的范圍在-1和1之間,這通常會導致大多數袖經網絡的最佳推理結果。MqTednc

為了證明Charger-Surfing構成真正的安全威脅，研究人員進行了數據收集，單鍵推理，4位和6位密碼推理和采樣頻率還有不同智能手機配置變量（如壁紙，手機亮度，充電狀態）對推理精度的影響，展示了威脅模型的廣泛適用性。MqTednc

6：推算用戶的觸屏的虛擬按鈕動畫：MqTednc

最后一步，預處理的功率信號被發送到針對該特定類型設備訓練的神經網絡，以重建受害者鍵入設備的多種序列。MqTednc

從之前采集的數據中，分析出智能手機的機型，從圖中能看到兩款典型手機iPhone和安卓他們的鎖屏布局，iPhone和安卓輸入密碼的動態鍵盤的顯示比例。再從觀察用戶輸入密碼時在智能手機上動畫的持續變化，竊取密碼等敏感信息。MqTednc

MqTednc

圖6：（一）iPhone手機密碼鍵盤（b）安卓手機密碼鍵盤MqTednc

為了證明Charger-Surfing能夠廣泛竊取多用戶，多種手機機型的隱私信息，研究者進行了邀請不同的用戶，使用不同的手機機型，進行廣泛分析和詳細的分析。MqTednc

研究人員選取了20個不同的用戶，從中隨機選取了5個用戶來進行按鈕模型的識別，和網絡神經預處理的訓練，結果如下表1所示：即使是不到20美元的低端數據采集設置，對手可以正確識別單個采集設置，并且第一次按下按鈕的識別正確率就高達98.6%！開四位密碼時第一次識別的正確率為94.9%，第五次識別的正確率就達到了97.4%MqTednc

MqTednc

表1：單位密碼，4/6位密碼破解的嘗試次數和正確率MqTednc

小結：

USENIXSecurity認為自己的Charger-Surfing在推斷智能手機密碼的高精度和高準確率（破解密碼時平均破解成功率可以高達96.9%以上，并且能夠在五次嘗試分別獲得4位和6位的密碼）。不過他們也在表示，目前正在試驗和嘗試能夠阻止和對抗Charger-Surfing的方法和對策。MqTednc

關鍵詞： 智能手機 神經網絡 研究人員