乐高机器人能够欺骗通过手势识别用户的算法

由DARPA（美国高级防御研究与开发局）提供资金支持的计算机安全专家小组在一份新的研究论文中 ，通过其使用设备触摸屏的情况介绍了用户识别方法的不可靠性。该团队基于Lego Mindstorms构建的机器人设法使智能手机上的各种身份验证系统相信所有者正在使用手机。

近来，基于姿势分析的用户认证系统的开发正在普及。其想法是收集用户使用触摸屏的数据，然后在此基础上建立用户运动的概况，并不断将其与使用智能手机时使用的那些运动进行比较。可以相信，每个人的动作数据集（滑动的开始和结束，持续时间等）都是唯一的。

该研究的作者指出，这样的系统只能用作辅助系统-他们表明，使用简单的机器人可以实现两种绕过现有系统的方法。首先是处理不同用户使用设备的统计信息，以建立某种通用的平均触摸屏使用情况配置文件。第二种涉及黑客盗窃有关特定用户使用智能手机的信息，以冒充他。

在一篇名为“触摸屏上的抢劫”的论文中，研究人员研究了这两种方法。为了使该过程自动化，他们从Lego Mindstorms建造了一个机器人，在该机器人的机械手上用Play-Doh橡皮泥类似物加固了一个手指假人。

手势数据是从参加实验的41个人中收集的，他们在测试人员的指导下执行了Android系统自然执行的几种操作，并累积了手势基础（每个手势都再现了28种不同的动作）。

然后，研究人员使用七个不同的手势来识别用户来测试所描述的方法。第一种方法使用平均手势设法在70％的情况下欺骗了最不可靠的算法-在这些情况下，该算法错误地确定拥有智能手机的人正在使用该设备。

在实验的第二阶段，当科学家使用从特定用户那里获得的数据时，机器人就不足为奇了，它成功地欺骗了90％的识别算法。

该研究的作者得出结论，由于这种攻击很容易使用免费的设备进行，因此保护公司不仅需要在相似的机器人中进行测试，以验证保护的可靠性，而且还需要从整体上改进保护。

Source: https://habr.com/ru/post/zh-CN394039/