Krađom podataka senzora mobilnih uređaja, hakeri mogu otkriti PIN kodove korisnika
Mobilni telefoni, 13.04.2017, 08:00 AM
Naučnici sa Univerziteta Njukasl pokazali su kako maliciozni web sajt ili aplikacija može da ukrade PIN kodove korisnika ili lozinke samo zahvaljujući podacima koje prikupljaju različiti senzori pokreta modernih mobilnih uređaja.
Sada je većina smart telefona, tableta i drugih mobilnih uređaja opremljena mnoštvom senzora, od GPS-a, kamere i mikrofona, do žiroskopa, NFC-a, senzora rotacije i akcelerometra. Međutim, mobilnim aplikacijama i web sajtovima nisu potrebne dozvole za pristup većini senzora, pa maliciozni programi mogu prikupljati podatke senzora. Ti podaci mogu biti iskorišćeni za otkrivanje osetljivih informacija, kao što su tajming poziva, fizičke aktivnosti, PIN kodovi i lozinke.
Naučnici su pokazali kako bi izgledao jedan takav napad tako što su napravili JavaScript fajl koji može da prikuplja podatke senzora. Kada korisnik sa mobilnog telefona poseti takav sajt, kod počinje da prati pokrete i senzor orijentacije, i to bez odobrenja korisnika. Analizom tih podataka, može se otkriti korisnikov PIN pomoću veštačke mreže neurona.
"Na onovu testiranja skupa od 50 četvorocifrenih PIN-ova, PINlogger.js je bio u stanju da identifikuje PIN-ove u prvom pokušaju sa stopom uspešnosti od 74% koja je porasla na 86% i 94% u drugom i trećem pokušaju. Visoke stope uspeha u krađi PIN-ova na mobilnim uređajima preko JavaScripta ukazuju na ozbiljnu opasnost za bezbednost korisnika", kažu naučnici.
Isti napad može biti izveden preko maliciozne aplikacije.
Moguće rešene ovog problema je da se dizajnira mehanizam za bezbedno upravljanje podacima senzora, kažu naučnici.
Višegodišnja istraživanja koja su dokazala ozbiljne bezbednosne rizike od senzora kao što su akcelerometar i žiroskop, nisu naterala proizvođe da revidiraju pristupnu politiku za aplikacije na velikim mobilnim platformama.
Pošto su naučnici prijavili ovaj problem Mozilli, od verzije 46 koja je objavljena u aprilu prošle godine, Firefox ograničava JavaScript pristup senzorima pokreta i orijentacije. I Appleovim prošlogodišnjim bezbednosnim ažuriranjima za iOS, u Safariju je primenjena slična mera zaštite.
Izdvojeno
Bankarski malver sakriven u antivirusnoj aplikaciji
Istraživači kompanije Fox-IT otkrili su novu verziju bankarskog trojanca „Vultur“ za Android koja u odnosu na ranije verzije ima napredn... Dalje
Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije
Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje
WhatsApp će blokirati skrinšotove za slike profila
WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje
Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje
Apple je ove nedelje objavio hitna bezbednosna ažuriranja kako bi popravio dve ranjivosti nultog dana iOS-a koje su korišćene u napadima na iPhone... Dalje
Signal uveo podršku za korisnička imena u aplikaciji
Signal je uveo podršku za korisnička imena tako da sada svako može dodati opcionalno korisničko ime koje će ih povezati sa drugima bez deljenja ... Dalje
Pratite nas
Nagrade