駭客技術真的能破解手機密碼？對發展中的人工智慧技術有影響嗎？

分類＼科技
時間＼2017-04-13

有研究表明，駭客可以通過使用者輸入手機密碼時傾斜手機的角度猜出使用者密碼。

紐卡斯爾大學的電腦科學家團隊研究出一種可以猜出使用者手機密碼的方法：他們通過獲取用戶智慧手機的內置陀螺儀裝置所收集資訊，

首次嘗試就能猜中密碼的概率高達70%，嘗試5次的命中率就達到了100%。

這種理論上的駭客行為主要利用了智慧手機的一個漏洞，即移動端流覽器應用會要求手機與其分享資料。當手機使用地理位置等敏感資訊時，

會快顯視窗要求用戶授權，用戶一旦授權，網站就可以讀取使用者的任何授權資訊。惡意網站也可以這樣做，從而在使用者不知情的情況下，獲取看似無害的資訊，如手持裝置的方向等。

紐卡斯爾大學電腦科學院研究員Maryam Mehrnezhad教授稱：“大部分智慧手機、平板電腦和其他可穿戴設備如今都裝有大量感應裝置，從大家都熟知的GPS導航系統、攝像頭和麥克風，到陀螺儀、旋轉感應器和加速計。

”

“但是由於移動設備上大部分應用程式和網站不需要使用者授權，就可以獲取隱私資訊，惡意程式就能夠接觸到來自各種感應裝置的資料，並使用這些資料發現關於使用者的敏感資訊，比如通話時長、活動情況、甚至各種密碼。”Mehrnezhad解釋道。

目前，網站在使用地理位置資訊、攝像頭和麥克風等功能時，都會要求使用者授權，因為這些資訊被視為敏感資訊，但手機傾斜角度、手機螢幕大小這種資料一般不被認為是敏感資訊，所以會被分享給所有發送共用請求的網站和應用。

但研究課題組成員表示，手機用戶也不必太過擔心駭客會用這種技術侵入其設備，因為這種攻擊所使用的方法存在很大技術屏障，

足以限制其被用於日常生活。

要達到前述70%的準確度，駭客需要對系統進行大量的“訓練”，即提供足夠的使用者行為資料。即使是猜一個簡單的4位元密碼，研究人員都需要手機使用者輸入50組已知的密碼，每組輸入5次，系統才能學習到使用者握手機的習慣，並將猜中密碼的準確度提高到70%。

由於目前行業裡對於手機內置傳感裝置的使用方法不一而足，即使上述研究暴露除了安全性漏洞，

生產商也很難給出相應的應對策略。

該研究團隊發現，大部分智慧設備都配備，且可以被用來洩露使用者資訊的內置傳感裝置高達25種。而用戶的任何一種動作，無論是點擊、翻頁還是長按、短按，都會造成一種獨特的傾斜角度和運動軌跡，所以在一個已知的網頁上，研究人員可以知道使用者在點擊頁面的哪一部分以及他們在輸入的內容。

該團隊聲稱，已經針對此安全問題向最大流覽器提供商穀歌和蘋果發出了警告，但至今沒有得到回應。

未來的科技會是人工智慧的天下嗎？

隨著政府機構開始把安全重點轉向具備自學能力的自動化系統，網路安全人士也開始紛紛擔心駭客對這些系統產生的影響，這甚至成為了他們最大的擔憂。

科技網站GCN近日撰文稱，人工智慧技術的發展對網路安全構成了挑戰，因為與防禦者相比，駭客更容易操縱機器學習演算法，從而獲得自己想要的結果。

根據維琪百科的解釋，對抗性機器學習（Adversarial machine learning，以下簡稱“AML”）是一個“機器學習與電腦安全的交叉學科……其目的是在垃圾資訊過濾、惡意軟體監測和生物特徵識別等對抗性設置中安全部署機器學習技術。”

據賓夕法尼亞州立大學谷歌安全專案博士尼古拉斯·帕珀諾特（Nicolas Papernot）介紹，AML希望在對抗性環境中應用機器學習演算法後，能夠更好地理解這些演算法——所謂對抗性設置，指的是“任何一個讓攻擊者因為財務動機或其他動機而迫使機器學習演算法採取不端行為的設置。”

“可惜的是，現在的機器學習模型有著很大的攻擊面，因為它們的設計和訓練過程都是為了獲得良好的平均表現，但未必考慮過最差表現。從安全角度來看，這往往是最容易受到攻擊的。”帕珀諾特說。正因如此，這些系統很容易遭受通用攻擊——無論使用何種機器學習模型，也無論需要解決哪些任務，這類攻擊都會經常發起。

范德堡大學電氣工程和電腦科學教授葉夫提尼·沃羅貝琴科（Yevgeniy Vorobeychik）指出，雖然包括美國國防部及其下屬的DARPA在內的政府機構“達到了我們學術界所達不到的複雜度”，但AML只是這一領域的一個開始。例如，很多國家和地區政府以及執法機構都在“認真考慮”用這種技術來預測犯罪活動。

馬里蘭大學助理教授都鐸·杜米特拉斯（Tudor A. Dumitras）表示，在公共領域，機器學習可以有很多用途，包括“網路攻擊防禦技術；分析天文觀測或能源部大型實驗等專案的科研資料；生物學和醫學研究；開發犯罪預測模型，用於制定假釋或量刑決策。”這些系統都很容易遭受AML攻擊。

為了說明這個問題，杜米特拉斯指出，網路防禦系統必須把各種活動或資訊（包括可執行程式、網路流量或電子郵件）區分為善意和惡意兩種模式。

為了達到這個目的，機器學習演算法需要首先學習一些已知的善意和惡意例子，以此作為起點，進一步在沒有預定描述資訊的情況下學習惡意活動的模式。

“聰明的攻擊者可以顛覆這些技術，使之產生壞的結果。”他說。廣泛來看，杜米特拉斯認為攻擊者可以採取以下三種方式：

——通過操縱例子攻擊訓練模型，導致機器學習演算法給某些案例添加錯誤的標籤，或者學會被曲解的模型。

——通過尋找代碼漏洞攻擊實施過程。

——利用機器學習演算法的“黑盒子”特性。

“因此，使用者可能會發現，這種模型也有盲點。他們也有可能發現，這種模型的基礎是人為操縱的資料，而非有意義的特徵。”杜米特拉斯說，“因為機器學習往往會給出惡意或善意判斷，但卻不會透露這種結論背後的邏輯。”

AML興起

AML在公共和執法領域的重要性逐漸提升，原因在於電腦科學家“在機器學習領域已經足夠成熟，可以在很多有挑戰的任務中讓機器學習模型實現優異表現，有時候能超過入類。”帕珀諾特說，“因此，機器學習在很多應用領域普及開來，而且逐步成為網路安全領域的新穎候選方案。”

然而，帕珀諾特表示，只要存在沒有被完全理解的缺陷——例如借助対抗性案例找到的那些缺陷——就很難信任機器學習模型給出的預測。

杜米特拉斯表示，過去10年發現了很多專門針對機器學習發起的攻擊。“雖然攻擊者必須解決的問題從理論上看非常困難，但很明顯，完全有可能針對多數實用系統找到實用的攻擊方法。”他說。

例如，駭客已經知道如何入侵基於機器學習的探測器；知道如何破壞訓練過程，從而產生他們想要的結果；知道如何通過反復索取的方式來竊取專有機器學習模型；還知道如何對模型進行調整，從而學習使用者的隱私資訊。

與此同時，如何防禦這些攻擊仍然沒有確定方案。“已知的防禦方式寥寥無幾，”杜米特拉斯說，“而且通常只針對具體的攻擊模式，一旦攻擊者調整戰略，這些方法就會失效。”

例如，他指出，“假新聞”的傳播就會影響政府的公信力。假新聞的傳播面——尤其是在Facebook、Twitter或穀歌上傳播的假新聞——會因為用戶的點擊、評論或點贊而擴大。這種行為構成了“一種毒害，使得推薦引擎使用了並不可靠的資料，有可能推廣更多假新聞。”他說。

AML的興起“導致好人面臨一場極不對稱的戰爭……壞人卻可從中受益。”智慧安全公司Anomali首席資料科學家伊萬·懷特（Evan Wright）說，“好人要被迫阻止一些問題。”

然而，“好人”也並非完全不走運。帕珀諾特表示，通過主動地確定其機器學習演算法的缺陷，政府機構和執法部門可以向前邁出一大步，逐步繪製自己的攻擊面圖形。他建議這些機構先從cleverhans這樣的軟體開始，這個Phython庫可以用於確定機器學習系統暴露給對抗性例子的缺陷。

“一旦部署了機器學習模型，使得攻擊者可以與之互動——即便只是通過API等有限的方式——那就應該假設有動機的攻擊者有能力對該模型展開反向工程，甚至針對其訓練時使用的資料展開反向工程。”帕珀諾特說。因此，他建議政府機構和執法部門密切關注與模型訓練有關的隱私成本。

沃羅貝琴科建議公共領域的IT專家在這個問題上先行一步，考慮所有潛在缺陷，並針對他們可能使用的機器學習演算法展開全面的攻擊演習。“”他說，“全面的攻擊演習對於測試這些自動化程度更高的工具大有裨益。”

雖然系統化的解決方案經常“需要針對攻擊者設定不切實際的假設。”杜米特拉斯說，但卻有可能在具體的案例中阻止AML攻擊。不過，仍然需要開發出有效的防禦手段。例如，他認為，如果攻擊者“不能向機器學習系統發出請求，無法訪問訓練集，不知道系統的設計或其使用的特徵，而且無法接觸實施過程，那就很難製作對抗性樣本。”

但杜米特拉斯也補充道，這些假設通常不切實際。因為很多政府系統都使用了開源機器學習庫，而攻擊者可以隨意查看其中的代碼，從而尋找可供利用的漏洞。“在這種情況下，很多人可能希望通過不透明的方式來實現安全性，盡可能隱藏跟系統運作方式有關的資訊。”他說，“但最近的黑盒子攻擊表明，只需要掌握很少的系統資訊，便可製作出有效的對抗性樣本。”

對輸入的資料進行“消毒”同樣可以發揮作用，因為這樣做便有可能在把惡意資料提供給機器學習演算法之前將其識別出來，但人工消毒無法大規模部署。“歸根到底，還是需要開發出有效的防禦模式來預防對抗性機器學習攻擊。”

所以在一個已知的網頁上，研究人員可以知道使用者在點擊頁面的哪一部分以及他們在輸入的內容。