Положение смартфона помогает хакерам вычислять пароль

15 Июнь 2017

Хакеры научились определять вводимые владельцем смартфона пароли по положению и углу наклона мобильного устройства. Такого эффекта можно добиться помощью специального JavaScript-файла, размещенного либо на зараженном сайте, либо же в мобильном приложении.

Чрез JavaScript-файл хакер получает доступ к разным датчикам, используемым на смартфоне. При умелой обработке данных, получаемых с них, злоумышленник сможет вычислить, какую комбинацию человек набирает для разблокировки своего смартфона или же для входа в свои аккаунты.

Такой способ разработали ученые из Ньюкаслского университета, расположенного в Великобритании. Они создали специальный скрипт, через который они получают информацию с 25-ти датчиков, используемых на мобильном устройстве. Если сопоставить все эти данные, то можно вычислить, какие символы вводятся на устройстве. Такую атаку можно очень легко осуществить, так как сейчас ни одна мобильная операционная системы не ограничивает доступ приложениями к датчикам.

JavaScript-файл, созданный учеными, получил название PINlogger.js. Он получает доступ ко всем сенсорам и регистрирует данные с них. Если этот файл присутствует на сайте, то пользователь должен разрешить браузеру, в котором открыта зараженная страница, работать в фоновом режиме, чтобы JavaScript-файл всегда имел доступ к датчикам. Если же заражено приложение, то для постоянного считывания информации с датчиков оно тоже должно быть постоянно запущено. Как только пользователь начнет вводить пароль, скрипт сразу же это распознает, соберет всю необходимую информацию с датчиков и отправит на удаленный сервер. Злоумышленникам выгодно, чтобы на устройстве было задействовано как можно больше датчиков, ведь тогда они смогут получить больше информации. Но и с ограниченным числом датчиков можно получить исчерпывающую информацию.

Разработанная учеными схема уже проверена в действии. Специалисты провели небольшой эксперимент. Сначала испытания проводились на несложных 4-значных паролях. На начальном этапе эксперимента в нем задействовалось всего 50 мобильных устройств. В результате созданная нейронная сеть помогла ученым вычислить большинство используемых паролей. Примерная точность при первой попытке составляла 74%. С каждой последующей попыткой точность значительно увеличивалась. Например, со второй попытки она уже составляла 86%, а с третьей вообще выросла до 94%.

Ученые сразу же после получения таких высоких результатов сообщили всем ведущим производителям браузеров о проделанной работе и обнаружении такой проблемы. После чего некоторые разработчики ограничили доступ браузеров к датчикам устройства. Так, например, в Firefox 46, который стал доступен пользователям еще в марте прошлого года, JavaScript-файлам запретили получать доступ к сенсорным датчикам.

Компания Apple тоже позаботилась о безопасности своих пользователей и ограничила своему браузеру доступ к датчикам, а вот компания Google до сих пор не решила эту проблему, поэтому пользователи мобильной версии Chrome все еще могут стать жертвами таких атак.


Скопируйте этот код и вставьте его в свой сайт или блог (HTML)
Скопируйте этот код и вставьте его на форум (BBcode)
Кликните, если это возможно
Комментариев нет.