Krađom podataka senzora mobilnih uređaja, hakeri mogu otkriti PIN kodove korisnika

Mobilni telefoni, 13.04.2017, 08:00 AM

Krađom podataka senzora mobilnih uređaja, hakeri mogu otkriti PIN kodove korisnika

Naučnici sa Univerziteta Njukasl pokazali su kako maliciozni web sajt ili aplikacija može da ukrade PIN kodove korisnika ili lozinke samo zahvaljujući podacima koje prikupljaju različiti senzori pokreta modernih mobilnih uređaja.

Sada je većina smart telefona, tableta i drugih mobilnih uređaja opremljena mnoštvom senzora, od GPS-a, kamere i mikrofona, do žiroskopa, NFC-a, senzora rotacije i akcelerometra. Međutim, mobilnim aplikacijama i web sajtovima nisu potrebne dozvole za pristup većini senzora, pa maliciozni programi mogu prikupljati podatke senzora. Ti podaci mogu biti iskorišćeni za otkrivanje osetljivih informacija, kao što su tajming poziva, fizičke aktivnosti, PIN kodovi i lozinke.

Naučnici su pokazali kako bi izgledao jedan takav napad tako što su napravili JavaScript fajl koji može da prikuplja podatke senzora. Kada korisnik sa mobilnog telefona poseti takav sajt, kod počinje da prati pokrete i senzor orijentacije, i to bez odobrenja korisnika. Analizom tih podataka, može se otkriti korisnikov PIN pomoću veštačke mreže neurona.

"Na onovu testiranja skupa od 50 četvorocifrenih PIN-ova, PINlogger.js je bio u stanju da identifikuje PIN-ove u prvom pokušaju sa stopom uspešnosti od 74% koja je porasla na 86% i 94% u drugom i trećem pokušaju. Visoke stope uspeha u krađi PIN-ova na mobilnim uređajima preko JavaScripta ukazuju na ozbiljnu opasnost za bezbednost korisnika", kažu naučnici.

Isti napad može biti izveden preko maliciozne aplikacije.

Moguće rešene ovog problema je da se dizajnira mehanizam za bezbedno upravljanje podacima senzora, kažu naučnici.

Višegodišnja istraživanja koja su dokazala ozbiljne bezbednosne rizike od senzora kao što su akcelerometar i žiroskop, nisu naterala proizvođe da revidiraju pristupnu politiku za aplikacije na velikim mobilnim platformama.

Pošto su naučnici prijavili ovaj problem Mozilli, od verzije 46 koja je objavljena u aprilu prošle godine, Firefox ograničava JavaScript pristup senzorima pokreta i orijentacije. I Appleovim prošlogodišnjim bezbednosnim ažuriranjima za iOS, u Safariju je primenjena slična mera zaštite.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Milioni Samsung telefona podložni napadima jer je kompanija zaboravila da obnovi domen

Milioni Samsung telefona podložni napadima jer je kompanija zaboravila da obnovi domen

Samsung je ugrozio milione uređaja jer je kompanija po svemu sudeći zaboravila da obnovi domen sa kojim se određeni broj Samsungovi uređaja povezu... Dalje

Više od 800 aplikacija u Play prodavnici inficirano malverom Xavier

Više od 800 aplikacija u Play prodavnici inficirano malverom Xavier

Opet je pronađen malver u Googleovoj Play prodavnici, i to u nekoliko stotina aplikacija. Stručnjaci kompanije Trend Micro upozorili su da je više ... Dalje

U prodavnicama aplikacija pronađeno stotine malicioznih antivirusnih aplikacija

U prodavnicama aplikacija pronađeno stotine malicioznih antivirusnih aplikacija

Prošlog meseca, stručnjaci kompanije McAfee upozorili su korisnike Androida na brojne aplikacije u Play prodavnici koje obećavaju nepotrebnu zašti... Dalje

Iz 75 Android aplikacija uklonjen adware koji krade informacije i instalira aplikacije bez dozvole korisnika

Iz 75 Android aplikacija uklonjen adware koji krade informacije i instalira aplikacije bez dozvole korisnika

Iz koda 75 aplikacija koje su se mogle preuzeti iz Googlove prodavnice aplikacija Play morao je da bude uklonjen adware nazvan AdDown, koga su stručn... Dalje

Android ransomware WannaCryptor pretvara se da je zloglasni WannaCry

Android ransomware WannaCryptor pretvara se da je zloglasni WannaCry

Istraživači iz kineske kompanije Qihoo 360 otkrili su novi Android ransomware koji pokušava da zastraši žrtve predstavljajući se kao zloglasni r... Dalje