Вредоносные приложения способны подобрать PIN-код для смартфона

Специалисты Наньянского технологического университета снова опубликовали доклад, демонстрирующий, что современные мобильные устройства имеют серьезные бреши в безопасности (речь идет о платформе iOS и Android). Проблема в том, что данные устройства не запрещают приложениям доступ к сенсорам. Это позволяет вредоносным приложениям аккумулировать информацию с датчиков и использовать ее, например, для идентификации PIN-кода.

Для демонстрации данной возможности эксперты создали собственную Android-утилиту, которая в фоновом режиме собирала данные с шести датчиков: барометра, магнитометра, гироскопа, акселерометра, а также сенсоров внешней освещенности и приближения.

Далее в дело вступал специальный алгоритм, обрабатывающий собранную информацию для определения области экрана, на которую нажимает пользователь. Учитывается изменение угла наклона устройства и уровня внешнего освещения в процессе набора PIN-кода.

В процессе тестирования анализировались данные с сенсоров, собранные в процессе набора 500 случайных PIN-кодов (набор осуществлялся тремя участниками). Взяв за основу тестовые образцы, алгоритм смог высокой вероятностью распознавать вводимые PIN-коды – точность составляла 99,5%. Специалисты отметили, что схему можно быстро адаптировать для более длинных PIN-кодов. Более того, собранные данные позволяют постоянно совершенствовать алгоритм.

Стоит отметить, что ранее другие специалисты также неоднократно пытались обратить внимание общественности на данную проблему. Аналогичное исследование было проведено в апреле прошлого года группой исследователей из университета Ньюкасла. Осенью прошлого года эксперты Принстонского университета наглядно продемонстрировали, что сенсоры смартфона позволяют определить положение пользователя, даже если модуль GPS неактивен.

Во всех случаях рекомендации специалистов схожи: Google и Apple призывают обязать программы выдавать уведомление при получении доступа к определенному датчику. Также можно предоставить пользователю возможность блокировать данную активность.
Автор: