隐藏威胁：智能手机电池如何泄露您的个人数据

德克萨斯大学、以色列理工学院和希伯来大学的安全研究人员发现，智能手机电池可以在您不知情的情况下窃取您的敏感信息。

如今，移动设备配备了“智能电池”，旨在提供响应能力并延长电池寿命。但是，这些电池可能会使您的所有数据（您在手机上输入的所有内容）面临风险。

研究人员已经演示了如何使用恶意电池来监视用户的活动，并通过秘密通道将收集到的私人数据发送给远程攻击者。他们表明，设备的电池电量日志（以 1 KHz 采样）有足够的数据来提取广泛的个人信息。

为了测量流入和流出智能手机的功率，研究人员将微控制器集成到电池中。然后，在离线人工智能系统的帮助下，他们将功率流与特定的击键相匹配。

三星 Galaxy S4 电池内的微控制器

借助微控制器和电池状态 API，攻击者可以追踪您的密码、监控您访问的网站、您何时给某人打电话、打开相机或任何其他应用程序。

简而言之，攻击者可以使用功耗记录来创建您在设备上正在输入或正在执行的所有操作的日志。

然而，黑客需要对设备进行物理访问才能更换“恶意电池”并开始跟踪一切。此外，手机必须使用电池运行，而不是充电。

据作者称，交换可以在短时间内完成：在机场安全检查期间，或者在维修店或供应链中。恶意电池会记录所有电量痕迹，人工智能可以将这些电池峰值转化为用户活动的连贯肖像。

攻击概述 |由研究人员提供

在研究中，人工智能成功检测到键盘应用程序上正在敲击的按键。此外，击键痕迹与其他屏幕触摸痕迹是可以区分的。

参考：移动设备上恶意电池的推理攻击

尽管与其他攻击相比，对手机进行物理访问的要求使得黑客攻击相当难以执行，但电池电量监控提供了几个好处。

研究人员在三星 Galaxy Note 4 和华为 Mate 9 智能手机上实施了他们的方法。他们成功跟踪了使用默认键盘以及第 3 方键盘应用程序 (SwiftKey) 的两种设备的击键。

出于隐私考虑，Safari 和 Mozilla 已经取消了对电池状态 API 的支持。不过，Chrome 浏览器仍然支持它，因此这种攻击可以广泛部署。

阅读：新型铝石墨烯电池可在 5 秒内充电

幸运的是，迄今为止，尚未记录到此类实际攻击，研究人员声称这些攻击目前仍停留在理论上。

工业技术