Исследовательская группа из Наньянского технологического университета в очередной раз продемонстрировала, что у смартфонов, работающих под управлением Android и iOS, есть общая фундаментальная проблема. Дело в том, что получить доступ к данным сенсоров современного смартфона может любое приложение (включая вредоносные), без каких-либо ограничений и разрешений.  В итоге эта информация может быть использована злоумышленниками, к примеру, для подбора PIN-кода.

Чтобы доказать свою точку зрения специалисты создали специальное Android-приложение, которое устанавливали на тестовые устройства. На первый взгляд, приложение не делало ничего дурного, просто собирало в фоновом режиме данные с шести сенсоров: акселерометра, гироскопа, магнитометра, барометра, датчиков приближения и внешней освещенности.

Разработанный исследователями алгоритм обрабатывал собранную приложением информацию и на ее основании различал нажатия на определенные клавиши на экранной клавиатуре устройства. Алгоритм ориентировался на угол наклона смартфона, а также учитывал изменения, происходящие с внешним освещением, во время движений пальцев пользователя в ходе набора PIN-кода.

Во время тестирования эксперты работали только с данными сенсоров, полученными во время 500 случайных вводов PIN-кодов, которые были предоставлены тремя участниками эксперимента. Основываясь на этих тестовых образцах, алгоритм сумел с первой попытки подобрать верный четырехзначный PIN-код с точность 99,5%, работая со списком 50 самых распространенных PIN-кодов. Точность алгоритма снизилась до 83,7%, когда ему предложили перечень из 10 000 PIN-кодов и дали 20 попыток на каждый. При этом исследователи уверяют, что данную методологию можно легко адаптировать для работы с более длинными PIN-кодами. Более того, чем больше данных собирает приложение, тем лучше «адаптируется» алгоритм.

Стоит отметить, что специалисты Наньянского технологического университета далеко не первые ИБ-эксперты, которые обратили внимание на данную проблему. Дискуссия о том, что приложения не запрашивают у пользователей никаких разрешений и могут свободно получить доступ к сенсорам устройств, ведется уже давно. К примеру, аналогичное исследование в апреле текущего года представили аналитики из университета Ньюкасла, а в сентябре исследовательская группа из Принстонского университета провела эксперимент и установила, что отслеживать географическое положения пользователя можно с помощью сенсоров, даже если GPS отключен.

Во всех перечисленных случаях эксперты призывают разработчиков Apple и Google к очень простой вещи: для решения данной проблемы будет достаточно обязать приложения уведомлять пользователей об использовании конкретных сенсоров, а также сделать обязательным запрос разрешения на такую активность.

2 комментария

  1. john_

    29.12.2017 at 18:25

    И этого никто не будет делать, так как всем плевать

  2. Themistocles

    30.12.2017 at 22:13

    и что изменится то? будет приложение просить у пользователя разрешение на использование данных о местоположении? да он просто жмякнет ок и даже думать не будет

Оставить мнение