Σύμφωνα
με μελέτη κάθε κίνηση του χρήστη στην οθόνη αφής, ανάλογα με το πώς
κρατά τη συσκευή του (π.χ. με ποιά κλίση) δημιουργεί ένα μοναδικό ίχνος,
το οποίο καταγράφεται και μετά μπορεί να υποκλαπεί.
Οι χάκερ είναι σε θέση να κλέψουν τα ΡΙΝ και τους διάφορους κωδικούς
(passwords) -πχ τους τραπεζικούς- που εισάγει ο χρήστης στο κινητό του,
από τον τρόπο και μόνο που γέρνει το τηλέφωνό του όταν πληκτρολογεί.
Βρετανοί ερευνητές προειδοποιούν ότι τόσο οι κακόβουλες ιστοσελίδες όσο
και οι εξίσου κακόβουλες εφαρμογές (apps) που εγκαθιστά κάποιος στη
συσκευή του, μπορούν να τον κατασκοπεύσουν χρησιμοποιώντας τις αφανείς
πληροφορίες που καταγράφουν οι αισθητήρες κίνησης της συσκευής.
Η μελέτη βρήκε ότι κάθε κίνηση του χρήστη στην οθόνη αφής, ανάλογα με το
πώς κρατά τη συσκευή του (π.χ. με ποιά κλίση) δημιουργεί ένα μοναδικό
ίχνος, το οποίο καταγράφεται και μετά μπορεί να υποκλαπεί.
Οι ερευνητές του Πανεπιστημίου του Νιούκασλ, με επικεφαλής τη δρα Μάριαμ
Μερνεζάντ, που έκαναν τη σχετική δημοσίευση στο διεθνές περιοδικό
ασφάλειας πληροφοριών "International Journal of Information Security",
έδειξαν ότι είναι δυνατό -υποκλέπτοντας μόνο τα δεδομένα που συλλέγουν
οι αισθητήρες κίνησης του κινητού- να «σπάσει» κανείς με ακρίβεια 70% το
ΡΙΝ του χρήστη από την πρώτη κιόλας απόπειρα. Μετά από πέντε
προσπάθειες, το ποσοστό ανεβαίνει στο 100%, δηλαδή δεν υπάρχει περίπτωση
να αποτύχει ο χάκερ.
Οι ερευνητές επισήμαναν ότι οι χρήστες δεν έχουν επίγνωση του κινδύνου
και οι περισσότεροι δεν έχουν καν ιδέα τι κάνουν οι περίπου 25
διαφορετικοί αισθητήρες που διαθέτει κάθε «έξυπνο» κινητό τηλέφωνο
(smartphone). Αλλά και οι κατασκευαστές των συσκευών και του
λειτουργικού συστήματος που ενημερώθηκαν για το πρόβλημα (Apple, Google
κ.α.), δεν έχουν καταφέρει να βρουν τρόπο να το αντιμετωπίσουν μέχρι
τώρα.
Το πρόβλημα αφορά, πέρα από τα κινητά, τους υπολογιστές-ταμπλέτες
(tablets), τα «έξυπνα» ρολόγια (smartwatches), τους καταγραφείς της
σωματικής κατάστασης (fitness trackers) που συνήθως φοριούνται στον
καρπό του χεριού και κάθε άλλη φορητή συσκευή εφοδιασμένη με GPS,
γυροσκόπιο, επιταχυνσιόμετρο, αισθητήρα επικοινωνίας κοντινού πεδίου
(NFC) και αρκετούς άλλους αισθητήρες.
«Επειδή οι εφαρμογές για τα smartphones και οι ιστοσελίδες δεν
χρειάζονται να ζητήσουν άδεια για να έχουν πρόσβαση σε αυτούς τους
αισθητήρες, τα κακόβουλα προγράμματα μπορούν κρυφά να 'ακούσουν' τα
δεδομένα των αισθητήρων και να τα χρησιμοποιήσουν για να αποκαλύψουν μια
ευρεία γκάμα ευαίσθητων πληροφοριών για σας, μεταξύ των οποίων τα ΡΙΝ
και οι κωδικοί που πληκτρολογείτε στις οθόνες αφής» δήλωσε η Μερνεζάντ.
Όπως είπε, «ακόμη πιο ανησυχητικό είναι ότι, σε μερικά προγράμματα
πλοήγησης στο διαδίκτυο, βρήκαμε πως αν ανοίξεις στο τηλέφωνο ή στο
τάμπλετ σου μια ιστοσελίδα που είναι παγιδευμένη με κακόβουλο κώδικα,
και μετά ανοίξεις τον online τραπεζικό λογαριασμό σου, χωρίς να έχεις
κλείσει την προηγούμενη ιστοσελίδα, τότε οι χάκερ μπορούν να
κατασκοπεύουν κάθε προσωπική λεπτομέρεια που πληκτρολογείς».
Οι ερευνητές επεσήμαναν ότι οι χρήστες ανησυχούν περισσότερο για το GPS
και την κάμερα (που όμως ζητούν την άδεια του χρήστη) παρά για τους
«σιωπηλούς» αισθητήρες (που δεν ζητούν καμία άδεια για να έχουν πρόσβαση
στη συσκευή). Με δεδομένο όμως ότι σταδιακά αναδύεται ένα Διαδίκτυο των
Πραγμάτων, όπου οι συσκευές θα «μιλάνε» μεταξύ τους και θα ανταλλάσσουν
online δεδομένα, οι κίνδυνοι από τους αισθητήρες αυξάνονται.
Οι ερευνητές συστήνουν στους χρήστες να αλλάζουν συχνά τα ΡΙΝ και τους
κωδικούς τους, να κλείνουν τις ανοικτές εφαρμογές που δεν χρησιμοποιούν
(ιδίως όταν παράλληλα κάνουν online τραπεζικές συναλλαγές), να
απεγκαθιστούν όσες εφαρμογές δεν χρειάζονται, να εγκαθιστούν τις
τελευταίες ενημερώσεις ασφαλείας του λειτουργικού συστήματος, να
δέχονται την εγκατάσταση εφαρμογών μόνο από εγκεκριμένα ηλεκτρονικά
καταστήματα και να ελέγχουν ποιες άδειες πρόσβασης έχουν δώσει στις ήδη
εγκατεστημένες εφαρμογές του τηλεφώνου τους.
Όλη η μελέτη βρίσκεται εδώ :
Η ανακοίνωση του Πανεπιστημίου Newcastle:
Hackers could discover your phone password by analysing the way the device tilts while you hold it.
Researchers discover a frightening vulnerability which lets cyber-crooks use the sensors in smartphones to spy on people.
HACKERS are able to steal PINs and passwords just from the way a mobile phone tilts while being held, new research suggests.
Cyber-security
experts at Newcastle University have revealed the ease with which
malicious websites and apps can spy on us using the motion sensors in
our smartphones and tablets.
Analysing
the movement of a device as the keyboard was used, they were able to
crack four-digit PINs with 70% accuracy on the first guess and 100% by
the fifth guess.
But despite the big players in the industry being aware of the problem, a solution has yet to be found.
Lead
author Dr Maryam Mehrnezhad, a research fellow in the School of
Computing Science, said: “Most smartphones, tablets, and other wearables
are now equipped with a multitude of sensors, from the well-known GPS,
camera and microphone to instruments such as the gyroscope, rotation
sensors and accelerometer.
“But
because mobile apps and websites don’t need to ask permission to access
most of them, malicious programs can covertly ‘listen in’ on your sensor
data and use it to discover a wide range of sensitive information about
you such as phone call timing, physical activities and even your touch
actions, PINs and passwords.”
Because
there is no uniform way of managing sensors across the industry, the
research points towards there being a real threat to personal security.
After
publishing the findings today in the International Journal of
Information Security, the team is now looking at the additional risks
posed by personal fitness trackers which are linked to online profiles.
Dr
Mehrnezhad said: “More worryingly, on some browsers we found that if you
open a page on your phone or tablet which hosts one of these malicious
codes and then open, for example, your online banking account without
closing the previous tab, then they can spy on every personal detail you
enter.
“And worse still, in some cases, unless you close them down completely, they can even spy on you when your phone is locked.
“Despite
the very real risks, when we asked people which sensors they were most
concerned about we found a direct correlation between perceived risk and
understanding.
“So people were far more concerned about the camera and GPS than they were about the silent sensors.”
πηγή: http://id-ont.blogspot.gr
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου
Γράψτε το σχόλιό σας