Krađom podataka senzora mobilnih uređaja, hakeri mogu otkriti PIN kodove korisnika

Mobilni telefoni, 13.04.2017, 08:00 AM

Krađom podataka senzora mobilnih uređaja, hakeri mogu otkriti PIN kodove korisnika

Naučnici sa Univerziteta Njukasl pokazali su kako maliciozni web sajt ili aplikacija može da ukrade PIN kodove korisnika ili lozinke samo zahvaljujući podacima koje prikupljaju različiti senzori pokreta modernih mobilnih uređaja.

Sada je većina smart telefona, tableta i drugih mobilnih uređaja opremljena mnoštvom senzora, od GPS-a, kamere i mikrofona, do žiroskopa, NFC-a, senzora rotacije i akcelerometra. Međutim, mobilnim aplikacijama i web sajtovima nisu potrebne dozvole za pristup većini senzora, pa maliciozni programi mogu prikupljati podatke senzora. Ti podaci mogu biti iskorišćeni za otkrivanje osetljivih informacija, kao što su tajming poziva, fizičke aktivnosti, PIN kodovi i lozinke.

Naučnici su pokazali kako bi izgledao jedan takav napad tako što su napravili JavaScript fajl koji može da prikuplja podatke senzora. Kada korisnik sa mobilnog telefona poseti takav sajt, kod počinje da prati pokrete i senzor orijentacije, i to bez odobrenja korisnika. Analizom tih podataka, može se otkriti korisnikov PIN pomoću veštačke mreže neurona.

"Na onovu testiranja skupa od 50 četvorocifrenih PIN-ova, PINlogger.js je bio u stanju da identifikuje PIN-ove u prvom pokušaju sa stopom uspešnosti od 74% koja je porasla na 86% i 94% u drugom i trećem pokušaju. Visoke stope uspeha u krađi PIN-ova na mobilnim uređajima preko JavaScripta ukazuju na ozbiljnu opasnost za bezbednost korisnika", kažu naučnici.

Isti napad može biti izveden preko maliciozne aplikacije.

Moguće rešene ovog problema je da se dizajnira mehanizam za bezbedno upravljanje podacima senzora, kažu naučnici.

Višegodišnja istraživanja koja su dokazala ozbiljne bezbednosne rizike od senzora kao što su akcelerometar i žiroskop, nisu naterala proizvođe da revidiraju pristupnu politiku za aplikacije na velikim mobilnim platformama.

Pošto su naučnici prijavili ovaj problem Mozilli, od verzije 46 koja je objavljena u aprilu prošle godine, Firefox ograničava JavaScript pristup senzorima pokreta i orijentacije. I Appleovim prošlogodišnjim bezbednosnim ažuriranjima za iOS, u Safariju je primenjena slična mera zaštite.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Povezivanje iPhonea sa laptopom čini telefon podložnim napadima

Povezivanje iPhonea sa laptopom čini telefon podložnim napadima

Prošli su dani kada se iPhone smatrao najsigurnijim pametnim telefonom na tržištu. Sve je više izveštaja koji ukazuju na slabosti ili greške koj... Dalje

Safe Browsing sada podrazumevano omogućen u Android aplikacijama

Safe Browsing sada podrazumevano omogućen u Android aplikacijama

Google je najavio da će sve Android aplikacije sa WebViewom imati podrazumevano omogućenu funkciju Safe Browsing koja će obezbediti dodatnu zašt... Dalje

Četvorocifrena lozinka za iPhone može biti hakovana za samo 6 minuta

Četvorocifrena lozinka za iPhone može biti  hakovana za samo 6 minuta

GreyKey, uređaj koji proizvodi Grayshift i koji trenutno masovno kupuje policija u Sjedinjenim Državama, može hakovati iPhone bez obzira na to koli... Dalje

Hiljade Android aplikacija prate decu bez dozvole roditelja

Hiljade Android aplikacija prate decu bez dozvole roditelja

Google Play prodavnica je puna aplikacija i igara koje prate decu bez izričite dozvole roditelja, a Google izgleda ne preduzima ništa da bi to speč... Dalje

Proizvođači Android uređaja uhvaćeni kako lažu korisnike o zakrpama i bezbednosti uređaja

Proizvođači Android uređaja uhvaćeni kako lažu korisnike o zakrpama i bezbednosti uređaja

Veliki broj proizvođača Android uređaja preskače zakrpe za bezbednosne propuste koje Google objavljuje svakog meseca, ali laže korisnike o tome, ... Dalje