» »

Napad na pametne telefone prek žiroskopov

Napad na pametne telefone prek žiroskopov

Eurekalert - Raziskovalci so pokazali še eno metodo za krajo podatkov s pametnega telefona, na katero ne bi takoj pomislili. Na Univerzi Newcastle so pokazali, da je mogoče PIN in druga gesla pridobiti iz podatkov z žiroskopov in pospeškomerov v telefonu, saj telefon ob pritisku vsake cifre držimo nekoliko drugače. To seveda implicira, da moramo imeti za uspešen napad tako ali tako okužen telefon, torej lahko do podatkov napadalec verjetno pride tudi drugače, toda metoda je zanimiva vsaj akademsko.

Že v prvem poskusu je mogoče s 70-odstotno natančnostjo uganiti štirimestno kodo PIN, po petih poizkusih pa ta verjetnost naraste na sto odstotkov. Maryam Mehrnezhad, ki je vodil raziskavo, pojasnjuje, da imajo današnji pametni telefoni celo kopico senzorjev: GPS, kamero, mikrofon, žiroskop, NFC, pospeškomer, senzor bližine itd. Aplikacije za dovoljenje za dostop do teh senzorjev večinoma ne sprašujejo (izjemi sta na primer kamera in GPS), temveč lahko do njih dostopajo samovoljno. Ker vsaka operacija na zaslonu - klikanje, drsenje, tapkanje itd. poskrbi za unikaten podpis na senzorjih, je mogoče s podatkov na senzorjih razbrati, kaj počnemo s telefonom.

Seveda se mora aplikacija najprej naučiti, kako s telefonom ravnati. V preizkusu je moral uporabnik 50 znanih gesel vpisati po petkrat, da se je aplikacija naučila dovolj. Toda po tem je bilo mogoče vsak prvikrat vtipkan PIN prepoznati v 70 odstotkih primerov. Ob tem avtorji dodajajo, da je seveda mogoče napad posplošiti, saj lahko iz podatkov z več senzorjev ugotovimo tudi, na katerem delu spletne strani je uporabnik in kaj vtipkava. Skratka - če na telefon dobimo zlonamerno aplikacijo, je možnosti za zlorabe nešteto.

12 komentarjev

U2ros ::

Ma ne vem... pol-panika zaradi vsak dan novih prakticno skoraj nemogocih metod. Teoreticno bi te lahko nekdo snemal s kamero v stanovanje s stotih metrov in imel spisan algoritem ki bi ugotovil kaj si tipkal glede na polozaje prstov in kretnje. Alpa na podlagi merjenja vibracij stekla oken, ki bi nastale zaradi gibanja zraka v stanovanju ki bi bil rezultat tvojega tipkanja. Ne sekiraj se pa je ;>

SaXsIm ::

Ne vem, če je tole ravno nemogoča metoda. Koliko aplikacij imaš na telefonu, za katere ne veš, kaj točno počnejo v ozadju, za delovanje pa si jim moral dopustiti bistveno več dovoljenje, kot bi pričakoval?
SaXsIm

U2ros ::

Če sem malo provokativen: Mam iPhone, problem solved hehehe :D

Dpool ::

SaXsIm je izjavil:

Ne vem, če je tole ravno nemogoča metoda. Koliko aplikacij imaš na telefonu, za katere ne veš, kaj točno počnejo v ozadju, za delovanje pa si jim moral dopustiti bistveno več dovoljenje, kot bi pričakoval?


Ja pa ti ne pogledaš required permissions-e preden naložiš kako aplikacijo na telefon? Jaz zmeraj to naredim. In če je kaj sumljivega, decline, pa grem preveriti pri razvijalcu zakaj potrebuje tisti permission npr.

Tukaj pa tako ali tako omenjajo PIN številko.. in kaj bi naj remote z njo naredili? Če prav zastopim, ti tako ali tako potrebuješ ta dotičen telefon s katerega si prebral PIN številko, da lahko odkleneš zaslon ipd.

Za gesla na straneh pa to, pa je pomoje praktično nemogoče (teorija je drugo), že zaradi različnih stilov Soft-keyboarda, jezika na napravah (drugačna razporeditev črk), pa nevem to.. taki background service, ki konstantno posluša na KeyInput se mi zdi potraten za baterijo, bi verjetno opazil da se mi mobitel bistveno hitreje izprazni.

SaXsIm ::

In kaj narediš, ko želiš uporabljati aplikacijo, pa ti ne dela, ker ji ne daš nekega permissiona, ki ga po tvojem ne rabi?

Drugače pa bi bil presenečen, kaj vse se da s strojnim učenjem izluščiti iz surovih podatkov.
SaXsIm

Zgodovina sprememb…

  • spremenil: SaXsIm ()

DKirbi ::

Komaj zdaj sem ugotovil da je prevod Gyroscope = Žiroskop. Aghh ...

DexterBoy ::

U2ros je izjavil:

Če sem malo provokativen: Mam iPhone, problem solved hehehe :D

Naj ostane zgolj pri provokativnosti :)
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
http://www.avtofil.si/

Dpool ::

SaXsIm je izjavil:

In kaj narediš, ko želiš uporabljati aplikacijo, pa ti ne dela, ker ji ne daš nekega permissiona, ki ga po tvojem ne rabi?


Je ne uporabljam take aplikacije. Če pa bi jo res hotel, kot sem rekel, bi kontaktiral razvijalca aplikacije in povprašal zakaj je potreben določen permission.

S tem ni heca. Android je odprta platforma, developerji lahko naredijo praktično vse v eni aplikaciji in to zakamuflirajo nekje globoko v njej. Edino kar nam Android nudi je permission check, ki sicer ni ravno najboljše sredstvo za varnost, ampak začetna točka pa res.

Raptor F16 ::

Simple rešitev. Tipkovnica naj se ob vsakem vnašanju gesla premeša.
"Nije važno sudjelovati, važno je pobijediti."

Rokec ::

Če algoritem še malo izboljšajo in pričnejo zaznavati celo tipkovnico, lahko preberejo karkoli, kar tipkaš. Vse kar potrebujejo je dovolj tvojega vnosa. Npr Facebook Messenger bi to zlahka zbral od ljudi, ki notri natipkajo goro teksta. Učili bi se na svoji aplikaviji, ko bi pa uporabnik preklopil na drugo aplikacijo, bi v ozadju merili tvoje gibanje in posledično vedeli vse, kar natipkaš.

Ghost7 ::

DexterBoy je izjavil:

U2ros je izjavil:

Če sem malo provokativen: Mam iPhone, problem solved hehehe :D

Naj ostane zgolj pri provokativnosti :)


Sorry, ampak le: ROFL

GupeM ::

Dpool je izjavil:

SaXsIm je izjavil:

In kaj narediš, ko želiš uporabljati aplikacijo, pa ti ne dela, ker ji ne daš nekega permissiona, ki ga po tvojem ne rabi?


Je ne uporabljam take aplikacije. Če pa bi jo res hotel, kot sem rekel, bi kontaktiral razvijalca aplikacije in povprašal zakaj je potreben določen permission.

S tem ni heca. Android je odprta platforma, developerji lahko naredijo praktično vse v eni aplikaciji in to zakamuflirajo nekje globoko v njej. Edino kar nam Android nudi je permission check, ki sicer ni ravno najboljše sredstvo za varnost, ampak začetna točka pa res.

Naložil boš recimo igro, ki za igranje potrebuje Žiroskop. Recimo da neko kroglico spraviš v neko luknjo z nagibanjem naprave. Mislim, da ne rabiš spraševati avtorja, zakaj potrebuje žiroskop, saj ti je to menda logično. Za pomoč pa še v sami igri dodajo nekaj, kjer med "premikanjem" kroglice pobiraš neke številke, in če jih po končanem levelu vpišeš v istem vrstnem redu kot si jih pobral, se ti točke podvojijo, pa še 5 zlatnikov dobiš. Na ta način točno vejo katere številke si pritisnil in kako si nagnil telefon.

No, v prostem času ta igra seveda lahko preverja kako tipkaš svoj PIN.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

CPU - Je manj (res) vedno manj?

Oddelek: Mobilne tehnologije
331430 (379) slitkx
»

Slabi časi za zasebnost v Androidu (strani: 1 2 )

Oddelek: Novice / Varnost
726761 (2361) matijadmin
»

Hitrost praznjenja baterije izdaja lokacijo

Oddelek: Novice / Zasebnost
175117 (2270) CaqKa
»

Sistem PARKIRIŠČE! (strani: 1 2 )

Oddelek: Znanost in tehnologija
554527 (2592) gapic_8

Več podobnih tem