Автор: Содержание:
В наше время большинство мобильных устройств оборудованы немалым количеством датчиков и сенсоров: GPS, акселерометр, магнитометр, датчик приближения, гироскоп, шагомер, технология NFC и это только некоторые из них. С первого взгляда они предоставляют большой функционал пользователям и делают жизнь обывателей в разы проще, но на каждый плюс есть свой минус. При всей «полезности» эти системы ставят под угрозу личные данные и безопасность пользователей.
Согласно новой статье опубликованной в IJISS (International Journal of the Information Security Science), исследователи из Ньюкаслского Университета выяснили, что считывая информацию с вышеописанных датчиков, хакерам не составит труда заполучить ваш PIN-код и прочие данные.
Как это работает?
Команда программистов из этого университета написала специальный скрипт «PINLogger.js». Используя уязвимости в веб-браузерах и API предоставляемый консорциумом всемирной паутины (W3C), данный скрипт способен распознавать угол наклона телефона при использовании «touch signature».
Вот как это обычно происходит:
Как только пользователь заходит на «зараженный» веб-сайт, встроенный скрипт сразу же начинает считывать последовательность движений и наклонов. Обрабатывая полученные данные, он выдаёт PIN-код пользователя при помощиь искусственной нейросети. PINLogger.js, основанный на стандартном наборе из пятидесяти 4-значных PIN-кодов, выдаёт верную последовательность с вероятностью 74% с первой попытки. При последующих двух вероятность увеличивается до 86% и 94% соответственно.
Для сравнения: вероятность того, что случайная атака выдаст верный пин-код составляет 2%. Мы однозначно можем сделать вывод, что данный скрипт во много раз увеличивает вероятность «успеха». Более того, в отличии от других атак, основанных на уязвимостях приложений, PINLogger использует уязвимости браузера, что позволяет проводить атаку без предварительной установки и разрешений пользователей.
Уязвимые браузеры
Степень восприимчивости к различным атакам варьируется в зависимости от браузера и от ОС, на которой наш браузер запущен. Самым уязвимым для подобной атаки на данный момент является браузер Baidu от Chinese-US Web Service. Данные с датчиков считываются вне зависимости от того открыта или свёрнута вкладка, разблокировано или заблокировано устройство. Однако не все так плохо. Такие браузеры как Safari, Firefox и Google Browser (for IOS) ограничили доступ к данным с сенсоров, если вкладки загружаются в фоновом режиме.
Защита от
Отчёт об уязвимостях браузеров был отправлен их разработчикам. Mozilla и Safari частично решили эту проблему, ограничив функциональность датчиков для фонового режима страниц, но данная мера не позволяет нормально работать ряду приложений.
Атака, комбинирующая в себе уязвимости браузера и встроенных датчиков, нова по сравнению с атаками внутри приложений. И есть все основания полагать, что этот вид кибератак расширится достаточно быстро ввиду интенсивного развития устройств в области IoT (Internet of Things).
В заключении можно сказать, что ключевой проблемой для будущих исследований в этой области остаётся нахождение компромисса или некоего баланса между безопасностью и функциональностью внедряемых технологий.
