Hakerzy mogą zdobyć PIN naszego smartfona na podstawie samych danych zbieranych przez czujniki aparatu - ostrzegają naukowcy z Nanyang Technological University w Singapurze. W pracy, opublikowanej na stronie internetowej "Cryptology ePrint Archive", opisują metody, które po przejęciu danych z czujników ruchu, czy światła aparatu, pozwalają dostać się do aparatu z systemem Android z 99,5-procentową skutecznością. Dostęp do danych z tych czujników nie wymaga zgody użytkownika, złośliwa aplikacja może z tego skorzystać.

REKLAMA

Bogate wyposażenie naszych smartfonów może okazać się zagrożeniem dla ich bezpieczeństwa - przekonują naukowcy z grupy dra Shivama Bhasina z NTU. Ich eksperymenty potwierdzają, że czujniki ruchu, akcelerometry, czujniki światła i sensory zbliżeniowe zbierają wystarczająco dużo danych, by na ich podstawie złamać zabezpieczenia aparatu. Dane te są wykorzystywane przez wiele aplikacji, dostęp do nich nie wymaga przy tym zgody użytkownika. To sprawia, że mogą zostać wykorzystane do ewentualnego ataku.

Badacze z Temasek Laboratories przy NTU wykorzystali dane z sześciu czujników smartfona, by na podstawie ruchu aparatu, jego przechyłu, przesłonięcia ekranu i innych parametrów złamać zabezpieczenie za pomocą numeru PIN. Po ściągnięciu na smartfon z systemem Android odpowiednio przygotowanej aplikacji i obróbce danych z pomocą oprogramowania wykorzystującego algorytmy uczenia maszynowego, byli w stanie w nie więcej niż trzech próbach znaleźć PIN z 99,5-procentową skutecznością. Warunek? PIN należał do listy 50 najczęściej używanych. Wcześniejsze próby złamania takiego numeru PIN miały co najwyżej 74-procentową skuteczność. Badacze NTU dodają przy tym, że ich metoda będzie w przyszłości w stanie znaleźć każdy z możliwych 10 000 numerów PIN.

Autorzy pracy zainstalowali na smartfonie przygotowaną przez siebie aplikacje, która dała im dostęp do sześciu czujników, akcelerometru, żyroskopu, magnetometru, czujnika bliskości, barometru i czujnika oświetlenia zewnętrznego. Gdy trzymasz swój smartfon i wpisujesz numer PIN, telefon porusza się inaczej w przypadku cyfry 1, 5 lub 9, podobnie zmienia się ilość przesłanianego przez twój kciuk światła - tłumaczy dr Bhasin. Oprogramowanie rozkodowujące PIN "wyszkolono" za pomocą trzech osób, które wpisywały po 70 różnych kodów PIN, a komputer rejestrował odpowiadające im wskazania czujników.

Zastosowany w tym przypadku system tak zwanego głębokiego uczenia umożliwił programowi zróżnicowanie znaczenia wskazań każdego z czujników przy wpisywaniu różnych cyfr. To pozwoliło odrzucić mniej znaczące, zakłócające wskazania i poprawić skuteczność całej metody. Choć każdy z nas wpisuje numery PIN w różny sposób, zebranie danych od wielu osób pozwala zwiększyć dokładność dla każdego indywidualnego przypadku. Autorzy pracy przyznają, że ich oprogramowanie może nie być w stanie skutecznie działać od samego początku, jednak stopniowe zbieranie danych od licznych użytkowników złośliwej aplikacji może z czasem doprowadzić do sytuacji, w której masowy atak na grupę smartfonów będzie już możliwy i skuteczny.

Oprócz zagrożenia dla bezpieczeństwa naszego numeru PIN dostrzegamy możliwość użycia danych z tych czujników do nieuprawnionego monitorowania naszego stylu życia, czy naszych zachowań. To powód do niepokoju zarówno dla indywidualnych, jak i służbowych użytkowników - dodaje prof. Gan Chee Lip, szef Temasek Laboratories. W ten sposób bezpieczeństwo aparatów potencjalnie dobrze chronionych może być naruszone niejako za naszymi plecami.

Czy można się przed tym jakoś zabezpieczyć? Badacze z NTU wskazują, że twórcy mobilnych systemów operacyjnych powinni rozważyć możliwość zablokowania dostępu do danych z przynajmniej niektórych z tych czujników i odblokowywania ich przez użytkownika tylko w przypadku zaufanych aplikacji. Na razie sugerują, by nie instalować podejrzanych aplikacji, a dla większej pewności korzystać z dwóch systemów zabezpieczeń, na przykład numeru PIN i czytnika odcisków palców.

(ph)