Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Киберсигурност
13 апр
2017
 
 

Уязвимост позволява кражба на информация от всеки смартфон

3093 прочитания

Недостатък в JavaScript дава възможност за крадене на пароли и пръстови отпечатъци, както и следене на потребителски жестове, твърдят изследователи в статия, публикувана в изданието International Journal of Information Security. Там те описват метод, при който се използва малко JavaScript приложение, което прихваща приложно-програмните интерфейси (API) на различните сензори на мобилното устройство.

Според авторите на доклада приложение, наречено PINlogger.js, е способно да събере достатъчно информация, следейки потребителските жестове. Само от първия опит за разблокиране на устройство, работещо под Android, софтуерът може да разгадае комбинацията с точност до 70%. При третия опит пък точността нараства до 94 на сто.

Прочетете още: Хакерска група публикува пароли за шпионски инструменти на NSA

Мобилните сензори днес са навсякъде: от персонализираните устройства, като телефони, таблети, часовници, фитнес тракъри и друга носима електроника, през телевизорите, автомобилите и домашната техника, до пътищата, паркингите и умните градове. Тези датчици предоставят по-богати и функционални приложения, но водят със себе си и рискове по отношение на конфиденциалността, пишат авторите на доклада.

Всеки съвременен смартфон е „натъпкан“ със сензори – NFC, GPS, камери, микрофони, жироскопи, акселерометри, четци на пръстови отпечатъци, а някои дори с термометри и барометри, могат да отчитат пулса на потребителя и т.н. Тъй като мобилните приложения и уеб сайтовете не се нуждаят от специално разрешение за достъп до тях, вредоносни прорами могат да шпионират потоците от данни и да улавят важна информация за конкретния потребител. Тук не става дума само за следене на продължителността на телефонните разговори, например, а за възможности за директно прихващане на PIN-ове и пароли, се твърди още в публикацията.

Според ръководителя на изследователската група, д-р Мариам Мернежад, тя и нейните колеги са установили, че чрез някои мобилни браузъри вредноносен код, вграден в интернет страница, може да следи действия на потребителя във всички отворени табове. Т.е. ако в един таб зареден уебсайт с вредоносния код, а в друг – страница за влизане в система за банкиране, то споменатият по-горе скрипт може да прихваща въвежданите потребителски данни. За решаване на проблема е необходимо затваряне на „заразената“ страница, а понякога – рестартиране на браузъра.

Също така, всяко докосване до сензорния панел на дисплея на смартфона се регистрира като уникален поток от данни, включващ информация за ориентацията и движението на устройството в пространството.

Сиамак Шахандащи, съавтор на изследването, оприличава процеса по събиране на потребителска информация със сглобяването на мозайка, „колкото повече фрагменти се съберат на едно място, толкова по-ясна е общата картина“. По думите му в зависимост от това как потребителят набира текст, с една ръка и с използване на палеца на същата или с пръстите на другата, както и от това дали става дума за докосвания или провлачване на пръст по екрана, устройството бива накланяно в различни посоки. Чрез събиране на достатъчно такива данни е възможно извличане на закономерности и разпознаване на различните потребители.

Изследователите са уведомили за откритията си разработчиците на мобилни браузъри, но засега не е открито решение за решаване на проблема. Mozilla и Apple са представили частично решение, което обаче не помага винаги.

Сред възможните варианти най-радикалният е „заключване“ на сензорите и принуждаване на всички приложения и сайтове да изискват разрешение за използване на всеки датчик. Подобна стъпка обаче надали ще бъде предприета от някой от потребителите.

Като временно решение Мернежад и нейните колеги предлагат по-често сменяне на потребителските пароли и PIN-ове, така че да е по-трудно да бъдат извеждани описаните закономерности. Друг съвет е най-баналното затваряне на неизползваните приложения и табове в браузъра и дори деинсталиране на неизползвания софтуер. Препоръчва се също така редовно обновяване на софтуера и избягване на приложения от непроверени източници, както и проверка на всички привилегии, които се изискват при инсталиране.

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ
Фирмите представят

Слайдшоу
ИНТЕРВЮ
Сергей Белоусов, Acronis: Отваряме развоен център в СофияСергей Белоусов, Acronis: Отваряме развоен център в София

Сингапурският специалист в областта на архивирането, възстановяването и защитата на данни създава свой голям инженерингов център в София, в който до 2-3 години трябва да работят над 200 високовалифицирани специалисти. Това обяви главният...

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас