Ученые из Кембриджского университета показали, как злоумышленники, задействуя встроенный микрофон и камеру смартфона, могут украсть пароли и PIN-коды. Их метод заключается в том, чтобы подслушивать нажатия виртуальных кнопок и подглядывать за лицом пользователя, пока он вводит кодовое слово, передают “Вести.Хайтек”.
Система, которую придумали исследователи Росс Андерсон и Лорент Саймон, называется PIN Skimmer. “Записывая звук, мы можем определить события касания (т.е. прикосновения, которые воспринимает сенсорный дисплей. – Прим. ред.), а записывая видео с фронтальной камеры во время набора PIN-кода, мы можем получить кадры, относящиеся к этим событиям. Затем, извлекая изменения ориентации из кадров событий касания, мы показываем, что можно определить, к какой части экрана прикоснулся человек”, – говорится в статье ученых.
Важно, что компонента, ответственного за обработку изображений, в самом приложении нет. PIN Skimmer запрашивает его с удаленного сервера, чтобы пользователь не заметил быстрого разряда аккумулятора.
Из 50 тестовых 4-значных PIN-кодов система угадала почти треть после пары попыток, и свыше половины после пяти попыток. PIN Skimmer неплохо справляется даже с более длинными, 8-значными паролями – он верно их называл в 45% случаев, делая пять попыток.
Так, ученые рекомендуют разработчикам мобильных “операционок” разрешать сторонним приложениям доступ к датчикам только при необходимости и явном согласии пользователя. Кроме того, в целях безопасности можно отказаться от PIN-кодов в пользу биометрических сенсоров, таких как сканер отпечатков пальцев.
