Находчиви хакери могат да откраднат номерата на ПИН кодовете на потребителите от мобилните им телефони само благодарение на начина, по който устройствата се накланят, когато хората пишат по сензорните им дисплеи. Това твърдят изследователи на база на ново проучване.
Компютърните специалисти от университета в Нюкасъл са успели да отгатнат четирицифрен ПИН код със 70% точност при първия опит. За целта те са използвали жироскопите на смартфоните – измервателни устройства, каквито има вградени във всички съвременни смартфони. С до пет опита екипът е постигнал 100% успех в разгадаването на ПИН кодовете.
Хакването се възползва от уязвимост в начина, по който браузърите споделят данни от смартфоните с уебсайтовете, които поискват тези данни. Докато за чувствителната информация, като например местоположението, обичайно се изисква разрешение от потребителя, за да бъдат споделени данните, има куп друга информация, която бива споделяна без искане за разрешение от потребителя. Така един злонамерен уебсайт може да узнае доста голям обем привидно безобидни данни. Това може да включва например ориентацията на устройството. За такова докладване на данни потребителят изобщо няма да да бъде уведомен.
„Повечето смартфони, таблети и други носими устройства са оборудвани с множество сензори, от известния GPS, камера и микрофон до инструменти като жироскоп, сензор за въртене и акселерометър”, казва д-р Марям Меернежад, изследовател в Школата по компютърни науки в университета, цитиран от Mobile Tech Today. „Но тъй като мобилните приложения и уебсайтовете не трябва да искат разрешение за достъп до повечето от тези данни, злонамерените програми могат лесно да „слушат” информация от сензорите и да я използват, за да открият широк спектър от чувствителна информация за вас – времетраенето на разговорите ви, физическите ви дейности и дори вашите докосвания, пинове и пароли”.
Обичайно уебсайтовете трябва да поискат разрешение от потребителите за достъп до чувствителна информация като данните за местоположението, както и за достъп до сензори като камерата или микрофона на дадено устройство. Но някои данни, като например ориентацията на устройството или размерът на неговия екран, се считат за нечувствителни. Като цяло те се споделят с всеки сайт, който поиска тази информация. По принцип това е необходимо, за да се осигури интерактивност и адекватност на уебстраниците.
Засега опасността за потребителите не е особено голяма, казват учените. За да обучат своята система да „краде” ПИН кодове, учените са положили доста усилия. Казват, че са изискали много усърдие от потребителите в експеримента: всеки е трябвало да въведе 50 известни ПИН кода на по пет или повече пъти, преди системата да научи достатъчно за това как хората държат телефоните си, за да може да отгатне даден ПИН със 70% точност.
Това пояснение обаче не бива да е голямо успокоение. Предвид липсата на стандартизиран начин за управление на сензорите в ИТ индустрията, при появата на данни като тези на екипа на д-р Меернежад е трудно за производителите да реагират координирано и адекватно. Самите потребители изобщо не са наясно със заплахата.
„Въпреки съвсем реалните рискове, когато запитахме хората за кои сензори са най-загрижени, открихме, че хората са много по-загрижени за камерата и GPS-а, отколкото за „мълчаливите” сензори”, споделят изследователите. В същото време екипът е успял да идентифицира 25 различни сензора, които стандартно се вграждат в повечето „интелигентни” устройства и се използват за предоставяне на най-различна информация за устройството и неговия потребител.
Всяко докосване от потребителя – кликване, превъртане, задържане и докосване – индуцира уникална последователност от активности на сензорите за ориентация и движение. Благодарение на това върху една предварително известна уеб страница лесно може да се определи коя точно част от страницата докосва потребителят, какво натиска и какво пише.
Изследването е подобно на констатация от 2015 г. за един нов (по онова време) инструмент за отчитане на състоянието на батерията от уебсайтовете. Той бе предназначен да позволи на разработчиците да предложат версия на сайта си за телефони с малко оставащ заряд. Оказа се обаче, че същият инструмент може да бъде злонамерено използван за проследяване на потребителя и всичките му дейности онлайн.
През 2014 г. пък хакери в Хагския комуникационен конгрес в Хамбург демонстрираха система, която им позволява да извлекат информация за ПИН кодове само благодарение на видеоклип с окото на жертвата, заснета докато въвежда данните си.