Wi-Fi信号干扰可能会泄漏您的密码和按键记录

当您在智能手机上输入密码时，黑客可以通过观察无线信号的变化，窃取您输入的密码，PIN码和按键记录等敏感信息。

来自上海交通大学、南佛罗里达大学和波士顿马萨诸塞大学的一组研究人员展示了一种新技术，通过分析无线电信号干扰，只使用一个钓鱼WiFi热点就可以窃取私人信息。

这项技术被称为WindTalker，攻击通过读取叫做信道状态信息(CSI)的无线电信号模式，嗅探用户在手机触摸屏或计算机键盘上的手指运动。

CSI是WiFi协议的一部分，其提供关于WiFi信号状态的一般信息。

“WindTalker的动机来自一项观察，移动设备上的击键将导致不同的手部覆盖和手指运动，这将对多路径信号引入唯一的干扰，并且可以通过信道状态信息(CSI)反映出来”，研究人员在他们的文章中写道：“当CSI遇到公共WiFi：通过WiFi信号来传递您的手机密码。对手可以利用CSI波动和击键之间的强相关性来推断用户的号码输入。”

这就是一个攻击者如何跟踪你的手指在智能手机屏幕上移动：

当您在任何应用程序中输入PIN码或密码，或者滑动智能手机锁定屏幕模式时，手指移动会更改手机传输的WiFi信号，并将移动打印到信号中。

现在，黑客控制了该设备所连接的公共Wi-Fi热点，就可以拦截、分析和反向工程处理这些信号，以准确猜测您输入到手机或密码输入框中的敏感数据。

WindTalker攻击特别有效，因为它不需要任何访问受害者的电话，而且对常规手机都起作用。

攻击需要黑客控制目标将连接到的钓鱼WiFi接入点，并收集WiFi信号干扰。

WindTalker也不能使用具有一个天线的老式互联网路由器在您的家庭周围广播Wi-Fi信号，因为它依赖于一种称为多输入多输出(MIMO)的技术。

然而，这不是问题，因为最新的无线路由器现在带有多个天线和MIMO技术，这使得路由器能够同时连接和传输来自多个设备的数据。

WindTalker攻击精度超过68%

研究人员在几个手机的真实场景中测试了WindTalker攻击，能够恢复通过中国支付服务支付宝完成移动支付交易所需的6位交易密码。

研究人员说，“评估结果表明，攻击者可以以很高的成功率恢复密钥。”

“在实践中，攻击者有更多的选择来实现用户特定的训练，例如，它可以简单地为用户提供免费的WiFi接入，作为回报，受害者应该通过点击指定的号码完成在线训练。模仿文字验证码，要求受害者输入选择的数字，”研究人员说。“即使一次击键只有一个训练样本，WindTalker仍然可以实现68.3%的整体恢复率。

WindTalker攻击的准确性基于手机型号不同，而且如果用户输入次数更多并且攻击者在其上收集更多数据，准确性还可以进一步提升。

WindTalker攻击技术也出现在10月24日至28日在奥地利维也纳举行的第23届计算机和通信安全计算机器会议协会。

相关资讯：

转载-公共WiFi有风险?技术流教你安全购物,认准HTTPS加密协议

剁手党天下那么多,何苦为难我一个?看见WiFi就连接不是我的错,但是明知道公共WiFi有风险却不知道怎么对付,这就是你的不对了。公共WiFi到底会有怎样...

315曝公共WiFi风险,使用SSL证书防泄密

央视315晚会曝光了黑客利用虚假WiFi盗窃现场联网观众照片、邮箱账号密码等隐私信息的全过程,如果连上黑客设置的WiFi,那你手机内照片、邮箱和密码等敏感信息都会被窃取!

如何更安全的上免费WiFi

免费wif存在安全隐患,收发邮件、网购支付、网银转账时最好关闭WiFi,转用3G或4G网络进行数据连接,同时要认准经过ssl证书加密的https安全链接。

公共WiFi存重大安全隐患,隐藏上百亿黑色产业链

央视3·15晚会现场曝光了不安全WiFi网络的风险——黑客可以通过构造假的WiFi网络盗取晚会现场观众手机系统、品牌型号、自拍照片、邮箱账号密码等各类隐私数据。