Блогеры: теперь пароли к банк-клиенту нужно набирать, фиксируя смартфон на столе

02.09.2011

Вернуться к списку новостей


Ученые, занимающиеся компьютерной техникой, разработали приложение для Android, которое записывает нажатия клавиш, используя сенсоры смартфона для определения места на сенсорной панели, до которого дотрагивается пользователь.

Демо-версия данного приложения, получившего название TouchLogger, позволила своим создателям в калифорнийском университете Дэвиса продемонстрировать уязвимость смартфонов и планшетных компьютеров, на которую раньше мало кто обращал внимание: хотя у большинства из этих девайсов отсутствует клавиатура, которая, как давно известно, может практически свободно разглашать вводимую пользователем информацию, они также остаются уязвимыми для отслеживания через сходные атаки побочных каналов ввода данных.

«Наше открытие заключается в том, что датчики движения, такие как акселерометры и гироскопы, могут быть использованы для распознавания нажатия клавиш», - пишут исследователи в отчете, представленном на прошлой неделе на семинаре HotSec-11 в Сан-Франциско. «Когда пользователь печатает что-либо на сенсорной клавиатуре своего смартфона (и особенно когда держит его в руке, а не на какой-то поверхности), телефон вибрирует. Мы обнаружили, что вибрация от нажатия клавиш на сенсорной панели во многом связана с нажимаемыми клавишами».

В связи с широким распространением смартфонов, данная тема получила отклики в сети Интернет, в частности, в блогах на сайте Хабрахабр. Мнения некоторых посетителей разделились, но большинство скептически относятся к возможности кражи паролей вышеописаннным образом. Юзер ZlodeiBaal о том, что «Низкая точность. Представляете пароль из 10 символов пробовать распознать? Точность каждой буквы 71.5%, точность правильного определения 10 нажатий — 3%. А это ещё и наверняка проценты, которые были рассчитаны на создателях! Весьма вероятно, что фигура получающейся кривой во многом отличается для каждого человека (не поверю, что у всех одинаковая рука с одинаковой силой нажатия и одинаковой массой). А это значит ещё нужна подпрограмма обучения (её будет не так уж и просто написать).

Ну и да, часто ли вы видите отсутствие QWERTY в современных нормальных смартфонах?

Хотя, конечно, в качестве забавного проекта чтобы скрасит пару вечеров эта тема тащит. Новая идея и новый подход. Всегда интересно смотреть как достаточно старые технологии применяются для чего-то нового. Кстати, ещё забавный момент. Для каждого смартфона траектория разная. Так же как она изменяется, если на него повесить брелок или чехол. И для каждого человека тоже есть особенности. Сделать программу обучения такой штуки это далеко не тривиальная задача. Так же как и сделать программу, которая на фоне статистического шума будет хоть что-то вытягивать. Это возможно сделать в полуавтоматическом режиме, да. Но полностью автомат?.. Есть куда более простые способы что-то украсть или заработать».

Пользователь ogr видит видит угрозу в другом: «Но необязательно ведь красть пароль. Думаю, многие используют смартфоны для работы с рабочей (извините за тавтологию) почтой. А там и важная закрытая инфа может быть. А понять о чем текст, в котором 70% информации точно, не составит труда. Не обязательно знать значения 100% слов». А блогер под ником FishDude подходит к вопросу с иронией: «Отлично, осталось ещё только микрофон задействовать и фронтальную камеру — за глазами владельца телефона следить».


Источник