PIN či heslo vyzradí telefón aj prostredníctvom zabudovaných senzorov

O odpočúvaní mobilov dnes počúvame z každej strany. To, že štandardné telefonovanie prostredníctvom mobilov nie je problém kompromitovať, snáď už nikoho neprekvapí. Zariadenia ako IMSI Catcher si dnes nadšenci dokážu vyskladať z komponentov obstaraných z oficiálnych eshopov za pár stovák eur. Mobilné zariadenie však už dávno nie len akási krabička, s ktorou môžete len realizovať hovory a posielať krátke textové správy.

Dnešné mobily obsahujú celý rad senzorov ako napríklad:

  • proximity senzor, čiže snímač priblíženia,
  • svetelný senzor
  • gyroskop
  • akcelerometer
  • senzor otrasov,
  • krokomer, atď.

Na rozdiel od prístupu aplikácií ku kamere, mikrofónu, GPS, adresáru, či úložisku dát v telefóne však nie sú prístupy k týmto senzorom obmedzované oprávneniami. Aplikácie či skôr ich vývojári, k nim teda môžu voľne pristupovať a získavať dáta z ich snímačov. Využitie týchto dát s trochou kreativity a veľkou dávkou odbornosti môže viesť k niečomu, čo smelo môžeme označiť ako určitú formu odpočúvania. Rovnako ako v prípade univerzálneho odtlačku prsta schopného oklamať biometrický senzor mobilu, sa dátami zo senzorov zaoberali výskumníci z univerzitného prostredia. Títo na pôde Newcastle University zo Spojeného kráľovstva využili potenciál neregulovaného zberu dát senzormi a podarilo sa im odhaliť PINy a heslá využívané používateľmi mobilov na stránkach internetového bankovníctva svojej banky či na odomknutie samotného mobilu.

Svoje schopnosti získavať dáta demonštrovali aj videom zverejneným na Youtube:

Úspešnosť odhalenia štvorciferného PINu je priam ohromujúca, keď na prvý pokus trafili až 74% prípadov a na pokus piaty toto číslo vyletelo až na rovných 100% z použitých 50 zariadení. Odhalili pritom aj to, kde na internetovej stránke bol daný PIN vyplnený.

Keďže schopnosť pristupovať k dátam zo senzorov nie je obmedzená len na aplikácie a vývojári ju dokážu implementovať aj do podvodných internetových stránok, oslovili výskumníci aj poskytovateľov najznámejších internetových prehliadačov, aby podnikli kroky na odstránenie rizík nekontrolovaného prístupu k senzorovým dátam.

Riešením bude okresanie prístupov javascriptov v internetových prehliadačoch (na základe podnetu výskumníkov to už bolo implementované vo Firefoxe a v Safari), ale aj výslovné udeľovanie oprávnení pre aplikácie na využívanie senzorov mobilu.

Viac informácií je dostupných v odbornom článku publikovanom na International Journal of Information Security.

Pridaj komentár