Krađom podataka senzora mobilnih uređaja, hakeri mogu otkriti PIN kodove korisnika

Mobilni telefoni, 13.04.2017, 08:00 AM

Krađom podataka senzora mobilnih uređaja, hakeri mogu otkriti PIN kodove korisnika

Naučnici sa Univerziteta Njukasl pokazali su kako maliciozni web sajt ili aplikacija može da ukrade PIN kodove korisnika ili lozinke samo zahvaljujući podacima koje prikupljaju različiti senzori pokreta modernih mobilnih uređaja.

Sada je većina smart telefona, tableta i drugih mobilnih uređaja opremljena mnoštvom senzora, od GPS-a, kamere i mikrofona, do žiroskopa, NFC-a, senzora rotacije i akcelerometra. Međutim, mobilnim aplikacijama i web sajtovima nisu potrebne dozvole za pristup većini senzora, pa maliciozni programi mogu prikupljati podatke senzora. Ti podaci mogu biti iskorišćeni za otkrivanje osetljivih informacija, kao što su tajming poziva, fizičke aktivnosti, PIN kodovi i lozinke.

Naučnici su pokazali kako bi izgledao jedan takav napad tako što su napravili JavaScript fajl koji može da prikuplja podatke senzora. Kada korisnik sa mobilnog telefona poseti takav sajt, kod počinje da prati pokrete i senzor orijentacije, i to bez odobrenja korisnika. Analizom tih podataka, može se otkriti korisnikov PIN pomoću veštačke mreže neurona.

"Na onovu testiranja skupa od 50 četvorocifrenih PIN-ova, PINlogger.js je bio u stanju da identifikuje PIN-ove u prvom pokušaju sa stopom uspešnosti od 74% koja je porasla na 86% i 94% u drugom i trećem pokušaju. Visoke stope uspeha u krađi PIN-ova na mobilnim uređajima preko JavaScripta ukazuju na ozbiljnu opasnost za bezbednost korisnika", kažu naučnici.

Isti napad može biti izveden preko maliciozne aplikacije.

Moguće rešene ovog problema je da se dizajnira mehanizam za bezbedno upravljanje podacima senzora, kažu naučnici.

Višegodišnja istraživanja koja su dokazala ozbiljne bezbednosne rizike od senzora kao što su akcelerometar i žiroskop, nisu naterala proizvođe da revidiraju pristupnu politiku za aplikacije na velikim mobilnim platformama.

Pošto su naučnici prijavili ovaj problem Mozilli, od verzije 46 koja je objavljena u aprilu prošle godine, Firefox ograničava JavaScript pristup senzorima pokreta i orijentacije. I Appleovim prošlogodišnjim bezbednosnim ažuriranjima za iOS, u Safariju je primenjena slična mera zaštite.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Bankarski trojanac za Android Faketoken sada cilja i aplikacije koje traže podatke o platnim karticama

Bankarski trojanac za Android Faketoken sada cilja i aplikacije koje traže podatke o platnim karticama

Mobilni bankarski trojanac Faketoken koji od nedavno može da krade osetjive podatke i da zaključava fajlove korisnika, sada je izmenjen tako da mož... Dalje

Android adware GhostClicker pronađen u 340 aplikacija u Google Play prodavnici

Android adware GhostClicker pronađen u 340 aplikacija u Google Play prodavnici

Autori familije adwarea za Android GhostClicker u nekoliko navrata uspeli su da ubace ovaj malver u Googleovu Play prodavnicu, sakrivajući ga u više... Dalje

Otkriven spyware u aplikacijama u Google Play prodavnici

Otkriven spyware u aplikacijama u Google Play prodavnici

Ako ste korisnik Androida, Googleova Play prodavnica je najbezbedniji izvor aplikacija za vaš uređaj. Ali ne uzimajte to zdravo za gotovo. S vremena... Dalje

Nova anti-fišing upozorenja za korisnike iOS Gmail aplikacije

Nova anti-fišing upozorenja za korisnike iOS Gmail aplikacije

Google je najavio nove mere protiv fišinga za korisnike iOS Gmail aplikacije. Za manje od dve nedelje, svi korisnici aplikacije susrešće se sa dva ... Dalje

Google objavio rat aplikacijama koje loše utiču na performanse Android uređaja

Google objavio rat aplikacijama koje loše utiču na performanse Android uređaja

Google je najavio poboljšanja pretrage za Play prodavnicu koja se tiču kvaliteta aplikacija, sa idejom da se pomogne korisnicima da pronađu aplikac... Dalje