Napad na pametne telefone prek žiroskopov
Matej Huš
12. apr 2017 ob 22:52:11
Raziskovalci so pokazali še eno metodo za krajo podatkov s pametnega telefona, na katero ne bi takoj pomislili. Na Univerzi Newcastle so pokazali, da je mogoče PIN in druga gesla pridobiti iz podatkov z žiroskopov in pospeškomerov v telefonu, saj telefon ob pritisku vsake cifre držimo nekoliko drugače. To seveda implicira, da moramo imeti za uspešen napad tako ali tako okužen telefon, torej lahko do podatkov napadalec verjetno pride tudi drugače, toda metoda je zanimiva vsaj akademsko.
Že v prvem poskusu je mogoče s 70-odstotno natančnostjo uganiti štirimestno kodo PIN, po petih poizkusih pa ta verjetnost naraste na sto odstotkov. Maryam Mehrnezhad, ki je vodil raziskavo, pojasnjuje, da imajo današnji pametni telefoni celo kopico senzorjev: GPS, kamero, mikrofon, žiroskop, NFC, pospeškomer, senzor bližine itd. Aplikacije za dovoljenje za dostop do teh senzorjev večinoma ne sprašujejo (izjemi sta na primer kamera in GPS), temveč lahko do njih dostopajo samovoljno. Ker vsaka operacija na zaslonu - klikanje, drsenje, tapkanje itd. poskrbi za unikaten podpis na senzorjih, je mogoče s podatkov na senzorjih razbrati, kaj počnemo s telefonom.
Seveda se mora aplikacija najprej naučiti, kako s telefonom ravnati. V preizkusu je moral uporabnik 50 znanih gesel vpisati po petkrat, da se je aplikacija naučila dovolj. Toda po tem je bilo mogoče vsak prvikrat vtipkan PIN prepoznati v 70 odstotkih primerov. Ob tem avtorji dodajajo, da je seveda mogoče napad posplošiti, saj lahko iz podatkov z več senzorjev ugotovimo tudi, na katerem delu spletne strani je uporabnik in kaj vtipkava. Skratka - če na telefon dobimo zlonamerno aplikacijo, je možnosti za zlorabe nešteto.