S mobilnou aplikáciou pre svojich pacientov prišla v zdravotníctve sieť polikliník ProCare. Mobilná aplikácia môže byť pri poskytovaní zdravotnej starostlivosti skutočným prínosom. Už pri jej vývoji je však nutné myslieť najmä na šifrovaný prenos dát, účinnú autentifikáciu, prísne dodržiavanie účelu spracúvania údajov a efektívne uplatňovanie práv dotknutých osôb.

Na rozdiel od prístupu aplikácií ku kamere, mikrofónu, GPS, adresáru, či úložisku dát v telefóne, nie sú prístupy k senzorom pohybu, teploty, priblíženia, otrasov, a pod. obmedzované žiadnymi oprávneniami. Aplikácie a internetové stránky či skôr ich vývojári, k nim teda môžu voľne pristupovať a získavať dáta z ich snímačov. Výskumníci z Newcastle University z nich dokázali získať PINy a heslá používateľov.

 

 

PIN či heslo vyzradí telefón aj prostredníctvom zabudovaných senzorov

O odpočúvaní mobilov dnes počúvame z každej strany. To, že štandardné telefonovanie prostredníctvom mobilov nie je problém kompromitovať, snáď už nikoho neprekvapí. Zariadenia ako IMSI Catcher si dnes nadšenci dokážu vyskladať z komponentov obstaraných z oficiálnych eshopov za pár stovák eur. Mobilné zariadenie však už dávno nie len akási krabička, s ktorou môžete len realizovať hovory a posielať krátke textové správy.

Dnešné mobily obsahujú celý rad senzorov ako napríklad:

  • proximity senzor, čiže snímač priblíženia,
  • svetelný senzor
  • gyroskop
  • akcelerometer
  • senzor otrasov,
  • krokomer, atď.

Na rozdiel od prístupu aplikácií ku kamere, mikrofónu, GPS, adresáru, či úložisku dát v telefóne však nie sú prístupy k týmto senzorom obmedzované oprávneniami. Aplikácie či skôr ich vývojári, k nim teda môžu voľne pristupovať a získavať dáta z ich snímačov. Využitie týchto dát s trochou kreativity a veľkou dávkou odbornosti môže viesť k niečomu, čo smelo môžeme označiť ako určitú formu odpočúvania. Rovnako ako v prípade univerzálneho odtlačku prsta schopného oklamať biometrický senzor mobilu, sa dátami zo senzorov zaoberali výskumníci z univerzitného prostredia. Títo na pôde Newcastle University zo Spojeného kráľovstva využili potenciál neregulovaného zberu dát senzormi a podarilo sa im odhaliť PINy a heslá využívané používateľmi mobilov na stránkach internetového bankovníctva svojej banky či na odomknutie samotného mobilu.

Svoje schopnosti získavať dáta demonštrovali aj videom zverejneným na Youtube:

Úspešnosť odhalenia štvorciferného PINu je priam ohromujúca, keď na prvý pokus trafili až 74% prípadov a na pokus piaty toto číslo vyletelo až na rovných 100% z použitých 50 zariadení. Odhalili pritom aj to, kde na internetovej stránke bol daný PIN vyplnený.

Keďže schopnosť pristupovať k dátam zo senzorov nie je obmedzená len na aplikácie a vývojári ju dokážu implementovať aj do podvodných internetových stránok, oslovili výskumníci aj poskytovateľov najznámejších internetových prehliadačov, aby podnikli kroky na odstránenie rizík nekontrolovaného prístupu k senzorovým dátam.

Riešením bude okresanie prístupov javascriptov v internetových prehliadačoch (na základe podnetu výskumníkov to už bolo implementované vo Firefoxe a v Safari), ale aj výslovné udeľovanie oprávnení pre aplikácie na využívanie senzorov mobilu.

Viac informácií je dostupných v odbornom článku publikovanom na International Journal of Information Security.

Výskumníci z New York University (NYU) Tandon School of Engineering a Michigan State University College of Engineering vytvorili syntetický odtlačok prsta, ktorý funguje ako pakľúč a je spôsobilý oklamať skener na mobilnom telefóne.  V závislosti od počtu záznamov odtlačku uložených v zariadení a pri počte 5 možných pokusov na odomknutie, zaznamenali úspešnosť niekde medzi 26 až 65 percentami užívateľov. Hoci zatiaľ stále nejde o metódu, ktorá je použiteľná za každých okolností, samotný mechanizmus a aktuálne výsledky výskumníkov jednoznačne potvrdzujú obavy o bezpečnosť pri použití skenerov využívajúcich neúplné odtlačky.

 

To, že v USA nám na hraniciach prelustrujú všetky prenosné zariadenia, vypýtajú si heslá do systémov a sociálnych sietí je totálny FAIL, no málokoho to prekvapí. Nečakanou informáciou je však zistenie, že kanadskí colníci majú vo svojom zákone podobné oprávnenie na preskúmanie prinesených zariadení. Týka sa primárne colného konania, no miestna komunita ochrancov súkromia preventívne namieta vágnosť tohto ustanovenia a poukazuje na možnosť zneužitia.

http://globalnews.ca/news/3268531/cellphone-search-at-the-border-cbsa/