A Newcastle Egyetem kutatói felfedezték, hogy az okostelefonokba beépített mozgásérzékelők módot kínálhatnak a támadóknak a biztonsági PIN-kódok kikövetkeztetésére.
A mai okostelefonok tele vannak ezekkel az érzékelőkkel, amelyek a jól ismert érzékelőktől, például GPS-től, kamerától, mikrofontól és ujjlenyomat-olvasótól, de tartalmaznak gyorsulásmérőket, giroszkópokat, környezeti fényérzékelőket, magnetométereket, közelségérzékelőket, barométereket, hőmérőket és levegő páratartalom-érzékelőket is. – hogy csak néhányat említsünk a legjobban felszerelt modellek becsült 25-je közül.
Ez rengeteg adatot tartalmaz egy rosszindulatú alkalmazás vagy rosszindulatú webhely számára, amelyek nagy részét nem fedi le semmilyen következetes engedély vagy értesítési rendszer.
A Newcastle Egyetem tanulmánya azokra az érzékelőkre összpontosított, amelyek rögzítik az eszköz tájolását, mozgását és forgását, amelyek – a csapat elmélete szerint – konkrét érintési műveletek kimutatására használhatók.
A módszertan során 10 okostelefon-felhasználó ötször 50 négyjegyű teszt-PIN-kódot írt be egy weboldalon, amelyek adatokat szolgáltattak a PIN-kódok kitalálásához használt neurális hálózat betanításához.
Ebben az esetben a hálózat az esetek 70%-ában az első próbálkozásra kitalálta a helyes PIN-kódot. Az ötödik tippre a sikerességi ráta elérte a 100%-ot.
Összehasonlításképpen a csapat úgy számol, hogy egy négyjegyű PIN-kód véletlenszerű kitalálása (10 000 lehetőség közül) az esetek 2%-ában valószínű, hogy igaza van az első alkalommal, és az esetek 6%-ában a hármas tippnél.
Ez lenyűgöző tippelési arány – tehát aggódniuk kell az okostelefon-felhasználóknak?
Rövid távon nem igazán. A neurális hálózat betanításához, hogy elérje ezt a pontossági szintet, nagy mennyiségű betanítási adatra volt szükség – megcélzott felhasználónként 250 PIN-kódra –, amelyek alapján következtetéseket lehetett levonni arról, hogy az egyének mely kulcsokat érintették meg.
A PIN-kódok mindegyikének összegyűjtése csak meghatározott feltételek mellett lehetséges, például ha egy támadó szélhámos alkalmazást futtatott, vagy egy olyan webhelyre csábította volna a felhasználót, amely rosszindulatú JavaScript-kódot futtatott egy lapon, amely nyitva maradt, miközben egy másik webhelyen megadta a PIN-kódot.
Valós körülmények között ezt elég nehéz lenne megvalósítani. A csapat mindenesetre rámutat, hogy az okostelefon-felhasználók legfeljebb negyede választ PIN-kódokat a 20 általános sorozatból, például 1234-ből, 0000-ből vagy 1000-ből, így a fejlett neurális PIN-kitalálás túlzás lehet.
A tanulmány szerint az, ahogyan valaki egy okostelefont tart, rákattint, görget és megérinti, olyan adatokat generál, amelyek nem olyan megfejthetetlenek vagy véletlenszerűek, mint ahogy azt az emberek valószínűleg gondolják.
A tanulmány vezető szerzője, Dr. Maryam Mehrnezhad a következőket mondta: „Mindannyian a legújabb funkciókat és jobb felhasználói élményt kínáló legújabb telefont követeljük, de mivel nincs egységes módszer az érzékelők kezelésére az egész iparágban, valódi veszélyt jelentenek személyes biztonságunkra. "
Az egyik megoldás az lenne, ha kiterjesztenék az érzékelők engedélyeit, hogy a felhasználók lássák, ha rosszindulatú webhely vagy alkalmazás fér hozzájuk. De ma már olyan sok van belőlük az okostelefonokban, ami értesítési túlterheltséghez vezethet.
A csapat többi javaslata – a PIN-kódok rendszeres megváltoztatása, az alkalmazásengedélyek ellenőrzése telepítés előtt, a háttérben lévő lapok és alkalmazások bezárása – megalapozottak, de nem valószínű, hogy nagy benyomást keltenek az átlagos okostelefon-felhasználókban, ha a biztonsági tanácsok előzményei szerint járunk el.
Alternatív megoldásként az emberek egyszerűen hosszabb PIN-kódokat használhatnak, vagy ami még jobb, az iparág teljesen lemondhat róluk (ahogyan másutt is), jobb biztonsági lehetőségek érdekében. A felhasználók szeretik a PIN-kódokat, de ahogy az ütési vonal megy, napjaik biztosan meg vannak számlálva."
Forrás: John E Dunn, nakedsecurity.sophos.com