Senzory smartphonů představují bezpečnostní rizika

19. 6. 2017 v sekci Článek

Průměrný smartphone je v dnešní době standardně vybaven GPS, kamerou, mikrofonem, akcelerometrem, magnetometrem, gyroskopem, krokoměrem a NFC. Jsou tyto senzory bezpečnostní riziko?

Podle vědců z univerzity v Newcastlu mohou útočníci uhádnout PIN a další hesla jen díky údajům, jako je například úhel vašeho telefonu při psaní. Škodlivé weby a aplikace mohou často přistupovat k datům z většiny vnitřních senzorů smartphonu bez nutnosti autorizace přístupu. Nezáleží ani na tom, zda hesla zadáváte na webu zabezpečeném pomocí protokolu HTTPS.

Kvůli rozmachu mobilních her a fitness aplikací během posledních několika let už mobilní operační systémy příliš neomezují instalované aplikace v přístupu k datům z různých senzorů. Jakákoliv škodlivá aplikace pak může tyto údaje zneužít. Totéž platí pro škodlivé webové stránky. Z „naslouchání“ zmíněných senzorů lze podle výzkumu odhalit citlivé informace s překvapivou přesností. Vědci dokonce nasimulovali pomocí škodlivého Javascriptu útok na zařízení s iOS, během nějž zaznamenávali data z přibližně 25 senzorů ve smartphonu. Video se simulovaným útokem si můžete přehrát zde.

Škodlivý Javascript se schopností přistupovat k senzorům a zaznamenávat jejich údaje lze vložit do mobilní aplikace nebo umístit na web. Oběť, která si aplikaci spustí nebo navštíví infikovaný web, se vystavuje riziku, že budou útočníci moci na základě nasbíraných dat uhádnout hesla, která prostřednictvím telefonu zadává.

Výzkumníci dokázali odhadnout čtyřciferné PINy na první pokus se 74% přesností a na páté zkoušce již se 100% přesností. Vědci mohli dokonce využít shromážděná data, aby zjistili, kde uživatelé klikli a posouvali stránku nebo v jakých místech na webu údaje kam zadávali.

Účelem průzkumu bylo zvýšit povědomí o senzorech ve smartphonech, ke kterým mohou aplikace získat přistup bez jakéhokoliv povolení, a jejichž zabezpečení výrobci zanedbávali.

Ukázalo se také, že lidé se více zaměřují na snímače, jako je fotoaparát a GPS, a o tom, jaké údaje mohou poskytnout ostatní „tiché senzory“ příliš nepřemýšlí.

Výzkumný tým před riziky varoval přední výrobce nejpoužívanějších prohlížečů, jako je Google a Apple, a některé – včetně Mozilly a Safari, začaly problém řešit.

Další technické podrobnosti naleznete v kompletní studii s názvem „Stealing PINs via mobile sensors: actual risk versus user perception“.