Содержание:
В наше время большинство мобильных устройств оборудованы немалым количеством датчиков и сенсоров: GPS
Согласно новой статье опубликованной в IJISS (International Journal of the Information Security Science), исследователи из Ньюкаслского Университета выяснили, что считывая информацию с вышеописанных датчиков, хакерам не составит труда заполучить ваш PIN-код и прочие данные.
Команда программистов из этого университета написала специальный скрипт «PINLogger.js». Используя уязвимости в веб-браузерах и API предоставляемый консорциумом всемирной паутины (W3C), данный скрипт способен распознавать угол наклона телефона при использовании «touch signature».
Как только пользователь заходит на «зараженный» веб-сайт, встроенный скрипт сразу же начинает считывать последовательность движений и наклонов. Обрабатывая полученные данные, он выдаёт PIN-код пользователя при помощиь искусственной нейросети. PINLogger.js, основанный на стандартном наборе из пятидесяти 4-значных PIN-кодов, выдаёт верную последовательность с вероятностью 74% с первой попытки. При последующих двух вероятность увеличивается до 86% и 94% соответственно.
Для сравнения: вероятность того, что случайная атака выдаст верный пин-код составляет 2%. Мы однозначно можем сделать вывод, что данный скрипт во много раз увеличивает вероятность «успеха». Более того, в отличии от других атак, основанных на уязвимостях приложений, PINLogger использует уязвимости браузера, что позволяет проводить атаку без предварительной установки и разрешений пользователей.
Степень восприимчивости к различным атакам варьируется в зависимости от браузера и от ОС, на которой наш браузер запущен. Самым уязвимым для подобной атаки на данный момент является браузер Baidu от Chinese-US Web Service. Данные с датчиков считываются вне зависимости от того открыта или свёрнута вкладка, разблокировано или заблокировано устройство. Однако не все так плохо. Такие браузеры как Safari, Firefox и Google Browser (for IOS) ограничили доступ к данным с сенсоров, если вкладки загружаются в фоновом режиме.
Отчёт об уязвимостях браузеров был отправлен их разработчикам. Mozilla и Safari частично решили эту проблему, ограничив функциональность датчиков для фонового режима страниц, но данная мера не позволяет нормально работать ряду приложений.
Атака, комбинирующая в себе уязвимости браузера и встроенных датчиков, нова по сравнению с атаками внутри приложений. И есть все основания полагать, что этот вид кибератак расширится достаточно быстро ввиду интенсивного развития устройств в области IoT (Internet of Things).
В заключении можно сказать, что ключевой проблемой для будущих исследований в этой области остаётся нахождение компромисса или некоего баланса между безопасностью и функциональностью внедряемых технологий.
Ваш компьютер на Windows 10 перестал быть быстрым после обновления системы? Мы подскажем, как устранить…
Это приложение для iPhone основано на приглашениях и аудио. С его помощью можно всё равно…
Одним из самых значительных изменений в операционной системе iOS 14 является возможность менять приложения по…
В системе Android 10 появился фреймворк для пузырей чатов, популярность которым принёс Messenger. Новая система…
От загрузки в режим Fastboot при помощи одной команды до установки модов без рута, есть…
Бета-версия операционной системы Android 11 в настоящее время доступна для устройств Google Pixel. Нужно посетить…