Исследовательская группа из Наньянского технологического университета в очередной раз продемонстрировала, что у смартфонов, работающих под управлением Android и iOS, есть общая фундаментальная проблема. Дело в том, что получить доступ к данным сенсоров современного смартфона может любое приложение (включая вредоносные), без каких-либо ограничений и разрешений. В итоге эта информация может быть использована злоумышленниками, к примеру, для подбора PIN-кода.
Чтобы доказать свою точку зрения специалисты создали специальное Android-приложение, которое устанавливали на тестовые устройства. На первый взгляд, приложение не делало ничего дурного, просто собирало в фоновом режиме данные с шести сенсоров: акселерометра, гироскопа, магнитометра, барометра, датчиков приближения и внешней освещенности.
Разработанный исследователями алгоритм обрабатывал собранную приложением информацию и на ее основании различал нажатия на определенные клавиши на экранной клавиатуре устройства. Алгоритм ориентировался на угол наклона смартфона, а также учитывал изменения, происходящие с внешним освещением, во время движений пальцев пользователя в ходе набора PIN-кода.
Во время тестирования эксперты работали только с данными сенсоров, полученными во время 500 случайных вводов PIN-кодов, которые были предоставлены тремя участниками эксперимента. Основываясь на этих тестовых образцах, алгоритм сумел с первой попытки подобрать верный четырехзначный PIN-код с точность 99,5%, работая со списком 50 самых распространенных PIN-кодов. Точность алгоритма снизилась до 83,7%, когда ему предложили перечень из 10 000 PIN-кодов и дали 20 попыток на каждый. При этом исследователи уверяют, что данную методологию можно легко адаптировать для работы с более длинными PIN-кодами. Более того, чем больше данных собирает приложение, тем лучше "адаптируется" алгоритм.
Стоит отметить, что специалисты Наньянского технологического университета далеко не первые ИБ-эксперты, которые обратили внимание на данную проблему. Дискуссия о том, что приложения не запрашивают у пользователей никаких разрешений и могут свободно получить доступ к сенсорам устройств, ведется уже давно. К примеру, аналогичное исследование в апреле текущего года представили аналитики из университета Ньюкасла, а в сентябре исследовательская группа из Принстонского университета провела эксперимент и установила, что отслеживать географическое положения пользователя можно с помощью сенсоров, даже если GPS отключен.
Во всех перечисленных случаях эксперты призывают разработчиков Apple и Google к очень простой вещи: для решения данной проблемы будет достаточно обязать приложения уведомлять пользователей об использовании конкретных сенсоров, а также сделать обязательным запрос разрешения на такую активность.