Команда исследователей из Кембриджского университета рассказала об интересном и простом способе получения паролей для разных приложений, работающих на мобильных устройствах. По словам ученых, можно вычислить нужный пароль, если прислушаться к издаваемым при нажатии клавиш на виртуальной клавиатуре звукам и одновременно следить за глазами пользователя при введении кода.
В последнее время производители мобильных устройств уделяли вопросу безопасности данных достаточно много своего времени и внимания. Можно вспомнить для примера сервис Knox, который хорошо знаком владельцам смартфонов Samsung и задействует возможности технологии ARM TrustZone. Последняя, в свою очередь, позволяет реализовать дополнительное защищенное окружение для исполнения приложений, в расположении которых находится финансовая информация пользователя.
Исследователи считают, что единственная проблема этих двух независимых окружений в том, что ресурсы разделяются только на программном уровне, но при этом в обоих случаях задействованными остаются множество датчиков, камера и микрофон смартфона. Именно датчики, число которых с каждым днем все больше и больше, могут быть использованы злоумышленниками.
В докладе, опубликованном Россом Андерсоном и Лораном Симоном, говорится, что в ближайшем будущем самую большую угрозу безопасности данных будут представлять микрофон и камера мобильного устройства.
Дабы не быть голословными исследователи создали специальное ПО под названием PIN Skimmer, которое позволяет добиться нужного результата. Доклад в формате PDF можно найти здесь.
Если говорить коротко, сопоставив аудиозапись и видеозапись процесса набора пароля на смартфоне или планшете, можно с большой точностью определить диапазон на экране, к которому в определенный момент прикасался пользователь. К слову, в ходе тестов PIN Skimmer из 50 четырехзначных паролей вычислил более полутора десятка с первой попытки и более двух десятков – только с 5 попытки.
В процессе создания приложения исследователи прибегли к небольшой хитрости. Чтобы не привлечь внимания со стороны пользователя и избежать быстрого разряда батареи мобильного устройства для обработки и анализа изображений приложение использует серверный компонент.
Исследователи предполагают, что выход из этого положения найти довольно просто. Во-первых, можно в так называемой защитной среде отключить сенсоры, которые снижают уровень системы безопасности. Правда, в этом случае про голосовое управление можно забыть. И во-вторых, отказаться от паролей и посмотреть в сторону биометрических систем.