Krađom podataka senzora mobilnih uređaja, hakeri mogu otkriti PIN kodove korisnika

Mobilni telefoni, 13.04.2017, 08:00 AM

Krađom podataka senzora mobilnih uređaja, hakeri mogu otkriti PIN kodove korisnika

Naučnici sa Univerziteta Njukasl pokazali su kako maliciozni web sajt ili aplikacija može da ukrade PIN kodove korisnika ili lozinke samo zahvaljujući podacima koje prikupljaju različiti senzori pokreta modernih mobilnih uređaja.

Sada je većina smart telefona, tableta i drugih mobilnih uređaja opremljena mnoštvom senzora, od GPS-a, kamere i mikrofona, do žiroskopa, NFC-a, senzora rotacije i akcelerometra. Međutim, mobilnim aplikacijama i web sajtovima nisu potrebne dozvole za pristup većini senzora, pa maliciozni programi mogu prikupljati podatke senzora. Ti podaci mogu biti iskorišćeni za otkrivanje osetljivih informacija, kao što su tajming poziva, fizičke aktivnosti, PIN kodovi i lozinke.

Naučnici su pokazali kako bi izgledao jedan takav napad tako što su napravili JavaScript fajl koji može da prikuplja podatke senzora. Kada korisnik sa mobilnog telefona poseti takav sajt, kod počinje da prati pokrete i senzor orijentacije, i to bez odobrenja korisnika. Analizom tih podataka, može se otkriti korisnikov PIN pomoću veštačke mreže neurona.

"Na onovu testiranja skupa od 50 četvorocifrenih PIN-ova, PINlogger.js je bio u stanju da identifikuje PIN-ove u prvom pokušaju sa stopom uspešnosti od 74% koja je porasla na 86% i 94% u drugom i trećem pokušaju. Visoke stope uspeha u krađi PIN-ova na mobilnim uređajima preko JavaScripta ukazuju na ozbiljnu opasnost za bezbednost korisnika", kažu naučnici.

Isti napad može biti izveden preko maliciozne aplikacije.

Moguće rešene ovog problema je da se dizajnira mehanizam za bezbedno upravljanje podacima senzora, kažu naučnici.

Višegodišnja istraživanja koja su dokazala ozbiljne bezbednosne rizike od senzora kao što su akcelerometar i žiroskop, nisu naterala proizvođe da revidiraju pristupnu politiku za aplikacije na velikim mobilnim platformama.

Pošto su naučnici prijavili ovaj problem Mozilli, od verzije 46 koja je objavljena u aprilu prošle godine, Firefox ograničava JavaScript pristup senzorima pokreta i orijentacije. I Appleovim prošlogodišnjim bezbednosnim ažuriranjima za iOS, u Safariju je primenjena slična mera zaštite.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sajber špijunaža: Mobilni spyware odveo istraživače do Libana

Sajber špijunaža: Mobilni spyware odveo istraživače do Libana

Fondacija za elektronske granice (Electronic Frontier Foundation, EFF) i kompanija Lookout otkrile su špijunsku kampanju čiji su ciljevi bili aktivi... Dalje

Google uklonio 53 aplikacije iz Play prodavnice jer su sadržale adware koji krade Facebook lozinke

Google uklonio 53 aplikacije iz Play prodavnice jer su sadržale adware koji krade Facebook lozinke

Google je uklonio 53 aplikacije iz svoje Play prodavnice zbog toga što su širile novi malver nazvan GhostTeam koji je može da krade lozinke za Face... Dalje

Namerno usporavanje iPhonea ćete moći da onemogućite u sledećoj verziji iOS

Namerno usporavanje iPhonea ćete moći da onemogućite u sledećoj verziji iOS

U intervjuu koji je dao američkoj televizijskoj mreži ABC izvršni direktor Applea Tim Kuk se još jednom izvinio zbog namernog usporavanja iPhonea ... Dalje

Moćni Android trojanac špijunira korisnike na način koji do sada nije viđen

Moćni Android trojanac špijunira korisnike na način koji do sada nije viđen

Ekosistem Androida je neprestano izložen napadima novih formi malvera a sada je otkriven jedan koji može da špijunira korisnike na način koji je p... Dalje

Malver u aplikacijama za decu prikazivao pornografske reklame

Malver u aplikacijama za decu prikazivao pornografske reklame

Google je uklonio više od 60 aplikacija za igru Play prodavnice, jer je otkriveno da sadrže kod koji je odgovoran za prikazivanje neprikladnih, porn... Dalje