K odhalení hesla stačí hackerům data z pohybových senzorů v telefonu
16.4.2017, Jáchym Šlik, aktualita
Nedávná studie odhalila, že hackeři mohou zjistit heslo či PIN kód z pohybu smartphonu. K takovým údajům přitom není složité se dostat, pohyb přístroje sleduje řada senzorů a přístup k nim může mít kdejaká aplikace.
Výzkumníci z Univerzity v Newcastlu tvrdí, že hackeři by mohli zjišťovat hesla nebo PIN kódy sledováním pohybu smartphonu. Může to znít divně, ale během studie se tímto způsobem podařilo na první pokus uhodnout 70 % testovaných čtyřčíselných PIN kódů sloužící například k odemknutí telefonu. Zbylých 30 % bylo zjištěno nejpozději na pátý pokus. Výzkumníkům k tomu přitom stačila jen data ze senzorů v telefonu, jako jsou gyroskop či akcelerometr, které snímají pohyb a orientaci zařízení. Takovými senzory jsou v dnešní době vybaveny snad všechny smartphony. Vedoucí výzkumu Maryam Mehrnezhad uvádí, že přístup k datům z těchto senzorů může mít většina nainstalovaných aplikací, neboť není obvykle systémem nijak kontrolován pomocí oprávnění.
To znamená, že také škodlivá aplikace může šmírovat pohyb telefonu a získávat tak informace o zadávaných heslech. A dokonce se nemusí jednat ani o samostatnou aplikaci, stačí škodlivý kód na webové stránce, neboť internetový prohlížeč může samozřejmě běžet také na pozadí. V některých případech, kdy uživatel sám neukončí prohlížeč, může hacker prostřednictví něj přistupovat k datům u pohybových senzorů i po uzamknutí telefonu. Takovým způsobem lze tedy poměrně snadno odhalit PIN kód, který uživatel využívá k zabezpečení svého přístroje. Samotný PIN kód je ovšem hackerovi víceméně k ničemu, pokud nemá fyzický přístup k danému smartphonu. Horší je to v případě čísel platebních karet či hesel k různým službám, takové informace jsou totiž zneužitelné i „na dálku“.
Pomocí dat z pohybových senzorů lze poměrně přesně zjistit, jakých částí displeje se uživatel dotýká, zda provádí jednorázové či dlouhé kliknutí, případně zda prstem přejíždí po displeji. Při ovládání dotykového displeje totiž dochází k malým, ale pro senzory znatelným vibracím a pohybům zařízení, jejichž analýzou lze dokonce odhadnout, co uživatel na displeji dělá. Výzkumníci z Univerzity v Newcastlu výsledky své studie již dříve poslali významných technologickým firmám, ale převážně se od nich nedočkali žádné smysluplnější odpovědi.
Zdroj: Phonearena.com
To znamená, že také škodlivá aplikace může šmírovat pohyb telefonu a získávat tak informace o zadávaných heslech. A dokonce se nemusí jednat ani o samostatnou aplikaci, stačí škodlivý kód na webové stránce, neboť internetový prohlížeč může samozřejmě běžet také na pozadí. V některých případech, kdy uživatel sám neukončí prohlížeč, může hacker prostřednictví něj přistupovat k datům u pohybových senzorů i po uzamknutí telefonu. Takovým způsobem lze tedy poměrně snadno odhalit PIN kód, který uživatel využívá k zabezpečení svého přístroje. Samotný PIN kód je ovšem hackerovi víceméně k ničemu, pokud nemá fyzický přístup k danému smartphonu. Horší je to v případě čísel platebních karet či hesel k různým službám, takové informace jsou totiž zneužitelné i „na dálku“.
Pomocí dat z pohybových senzorů lze poměrně přesně zjistit, jakých částí displeje se uživatel dotýká, zda provádí jednorázové či dlouhé kliknutí, případně zda prstem přejíždí po displeji. Při ovládání dotykového displeje totiž dochází k malým, ale pro senzory znatelným vibracím a pohybům zařízení, jejichž analýzou lze dokonce odhadnout, co uživatel na displeji dělá. Výzkumníci z Univerzity v Newcastlu výsledky své studie již dříve poslali významných technologickým firmám, ale převážně se od nich nedočkali žádné smysluplnější odpovědi.
Zdroj: Phonearena.com