13:00
22/6/2017

Sensory ruchu w urządzeniu mobilnym pozwalają odczytać wprowadzany PIN. Naukowcy z Newcastle udowodnili, że niebezpieczeństwo ataku istnieje, jeśli w przeglądarce mamy otwarte jednocześnie kilka stron.

Pokaż jak się ruszasz. Zgadnę Twój PIN!

Gdy wpisujesz coś na urządzeniu dotykowym to powodujesz ruch tego urządzenia. To oczywiste. A skoro w urządzeniu są sensory ruchu i położenia, możliwe jest użycie ich do oszacowania na podstawie ruchów urządzenia, wprowadzanych na nim znaków. Jak praktyczna jest ta metoda?

Naukowcy z Newcastle University udowodnili, że możliwe jest złamanie 4-cyfrowego numeru PIN przy użyciu sensorów ruchu. Szansa powodzenia wynosi 70% za pierwszym zgadnięciem i 100% po piątym zgadnięciu. Dodajmy, że aplikacje nie muszą pytać o pozwolenie na dostęp do sensorów ruchu, zatem można ich użyć by śledzić zachowanie użytkownika (niekoniecznie tylko wpisywane znaki).

Kierująca ekipą naukowców dr Maryam Mehrnezhad uważa, że możliwe jest szpiegowanie gdy użytkownik otworzy stronę ze złośliwym kodem i następnie otworzy inną stronę (np. banku) nie zamykając karty ze stroną “złośliwą”

I co najgorsze, w niektórych przypadkach, dopóki nie zamkniesz tych stron całkowicie, mogą one szpiegować dalej. Nawet jeśli telefon jest zablokowany — tłumaczy Mehrnezhad.

Mała świadomość zagrożeń

Ekipa Mehrnezhad badała nie tylko techniczne możliwości czujników, ale także poziom wiedzy na ich temat. Wielu ludzi nie wie, że ich urządzenie mobilne posiada do 25 sensorów. Łącząc dane ze wszystkich możemy dowiedzieć się bardzo dużo na temat użytkownika, a przede wszystkim w unikatowy sposób go zmapować. W ramach badań przeprowadzono wywiady z setką ludzi i okazało się, że wielu z nich nie docenia wagi zagrożenia. Nawet jeśli strona lub aplikacja prosi o zgodę na dostęp do sensorów, wielu ludzi po prostu się zgadza.

Producenci sprzętu i oprogramowania też nie biorą pod uwagę negatywnego wpływu na prywatność użytkownika, jaki niesie ze sobą dołożenie do ich rozwiązania kolejnego, nie zawsze potrzebnego, czujnika. Ten trend dotyczy nie tylko smartphonów, ale i tzw. inteligentnych przedmiotów, domów i miast.

Ustalenia naukowców zostały opublikowane w czasopiśmie International Journal of Information Security. W reakcji na ustalenia Mozilla i Apple już poprawiły pewne rzeczy w swoich przeglądarkach, ale zdaniem naukowców trzeba wypracować pewniejsze rozwiązania dla całego rynku.

Jak poruszać smartphonem, aby nie naruszyć bezpieczeństwa?

Ekipa dr Mehrnezhad radzi użytkownikom, aby przede wszystkim korzystali ze złożonych kodów PIN. Kod w rodzaju “1111” albo “1234” jest łatwiejszy do ustalenia niż “4792” (o ile oczywiście ten PIN nie jest datą urodzenia).

Poza tym:

  • Zamykajcie inne strony, jeśli korzystacie ze stron, na których wprowadzacie ważne hasła (np. strony banków).
  • Aktualizujcie swój system i uważajcie na to, co na nim instalujecie.
  • Przyjrzyjcie się uprawnieniom dostępu, jakie są przyznane aplikacjom. Większość z nich będzie działać z zabranymi uprawnieniami do mikrofonu lub kamery. Z dostępem do akcelerometru może być gorzej — w iOS nie da się go limitować.
  • Uważnie sprawdzajcie jakich uprawnień żądają nowo instalowane aplikacje.

Przeglądanie uprawnień aplikacji można przeprowadzić w oparciu o porady udostępnione przez naukowców z Newcastle.

Przeczytaj także:

19 komentarzy

Dodaj komentarz
  1. Zastanawiam się czy hibernując przeglądarkę (n.p. używając greenify) to czy wciąż taka zakładka może podsłuchiwać. Przypuszczam że nie.
    Muszę spróbować to i zobaczyć czy wpłynie bardzo na prędkość odpalania przeglądarki (używam Tuga) ze stanu hibernacji.

  2. Od kiedy Safari udostepnia stronom dane z sensorow?

    • Tu raczej chodzi o to, że aplikacje nie muszą prosić o pozwolenie na czujniki ruchu bo dzięki nim zmienia się np. chociaż orientacja ekranu. Tak podejrzewam przynajmniej.

  3. Może warto było by wprowadzić zmienne pozycje numerów na klawiaturach ekranowych podczas wpisywania PIN? Wtedy atakujący nie będzie mieć pewności jaką wyświetlono użytkownikowi kombinację cyfr.

    Co prawda nie wiem jak to ma się w kwestii aplikacji bankowych. Używam apki od millenium i apka blokuje podgląd na liście działających aplikacji. Może też da się wymusić blokadę czujników podczas wpisywania PIN?

    • Ciekawe czy pomogłoby np. losowo generowane wibracje, żeby zakłócić chociaż sygnały z czujników.

    • @Bartez

      O tym samym pomyślałem. SaaS pass ma tak zaimplementowaną obsługę piny, czym kładzie inne generatory OTP

  4. Osobiście korzystam z aplikacji dedykowanej do trzymania haseł. Ma własną wbudowaną przeglądarkę, za szyfrowanią bazę danych. Pozatym jak piszecie. Do banków muszą być koniecznie długie, trudne hasła. Polecam np. aplikacje Lastpass.

    • Konteneryzacja aplikacji wydaje się coraz bardziej sensowna właśnie pod kątem bezpieczenstwa. A LastPass właśnie poprzez to że integruje się z przeglądarką jest mniej bezpieczny. Zresztą ostatnie miesiące pokazały o ile pamiętam dwa takie przypadki.

  5. Mam dziwny zwyczaj wypieprzania apek które działają w tle, a ich nie potrzebuję. Czy to stary Win Phone, czy iOS – jeden luj.

  6. Wystarczy położyć telefon na stole podczas wpisywania hasła, mogą wtedy sobie sensorować…

    • Wtedy wystarczy analizować zmiany położeń pojedynczych sensorów wynikajce z odkształceń w danych punktach przy naciskaniu (małe, ale będą), lecz pod warunkiem, że sensorów jest kilka lub kilkanaście.

  7. “Dodajmy, że aplikacje nie muszą pytać o pozwolenie na dostęp do sensorów ruchu”

    w Tizenie muszą ;]

    • A zatem jego obaj użytkownicy będą bezpieczni :)

  8. Bardzo nie lubię mieć zbędnych stron otwartych w Safari :-D jestem bezpieczny ;-)

  9. Ciekawostka. Od dosyć dawna loguję się wyłącznie przez apkę banku, a inne uśpione wcześniej zamykam, pewnie to wynika z mojej lekkiej paranoi.

  10. Kolejna zaleta korzystania z czytnika linii papilarnych w apkach bankowych.

  11. @Morro
    i używanie tego samego odcisk palca do odblokowania telefonu?

  12. W W10M ten atak nie przejdzie – mobilny Edge wstrzymuje procesy JS na zakładkach w tle, a potem odtwarza timery po ich uaktywnieniu na aktualnym stanie maszyny :)

    • Chrome teraz ogranicza inne zakładki do 1% mocy obliczeniowej CPU, ale są wyjątki. Pewnie jednak to 1% wystarczy do szpiegowania.
      W dłuższym terminie, według Google’a, strony dla zadań w tle powinny wykorzystywać Service Workers, a normalny Javascript w zakładkach w tle całkowicie wstrzymany.
      https://blog.chromium.org/2017/03/reducing-power-consumption-for.html

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.