Co umí aplikace PIN Skimmer, smarťácký bratříček bankovních skimmerů, zkoumali Anderson a Simon z Cambridge univerzity.
Pro SOOM.cz SEO specialista a copywriter Daniel Beránek:
PIN Skimmer: ovládnutí smartphonu mikrofonem a kamerou
Víte, jak se dostat do vlastního smartphonu? S PIN Skimmerem to zvládne i útočník.
Skimmery jsou systémy na zachytávání přístupových údajů – typicky bankovních, nejčastěji instalované u bankomatů. Za pomoci PIN Skimmer se výzkumníkům z Cambridge univerzity dařilo úspěšně lámat PINy mobilních zařízení. Konkrétně 4místné PINy padly v polovině případů už po pěti pokusech, 8místné v 60 % po deseti pokusech.
Překvapuje nás, jak až moc dobře to funguje,říká profesor bezpečnostních technologií Ross Anderson.Aplikace využívá vstupů přední kamery a mikrofonu. Určuje orientaci zařízení. Zpracovává pohyb obličeje vůči zařízení (a prý i výrazy obličeje) a páruje tóny s tlačítky virtuální klávesnice. Díky tomu dokáže zúžit počet kombinací číslic PINu tak, že dosahuje výše zmíněné úspěšnosti jeho zlomení.
Při trošce vynalézavosti dokáže totéž kterákoliv aplikace s přístupovými právy ke kameře a mikrofonu,dodává Anderson s kolegou Laurentem Simonem. Jakmile je získán PIN, stačí v některých uživatelských prostředích už jen zadat pokyn k převodu peněz.Protiopatření sahají od jednodušších (nepoužívání nezaheslovaného přístupu k důležitým aplikacím, neužívání PINu k autorizaci uvnitř systému) ke komplikovanějším (vícemístné PINy a randomizátory virtuální klávesnice) – ty ovšem už naplňují klasický rozpor security vs. usability.
PIN Skimmer především indikuje velmi nebezpečný trend zneužití množství přístupů a dat v mobilních zařízeních, která navíc nabízejí celé spektrum technologií k zneužití: root, GPS, akcelerometr, kamery, mikrofony… stačí se podívat na požadovaná práva při instalaci většiny aplikací. Pokud vezmeme v úvahu vysokou úspěšnost tohoto typu lámání a hrubou výpočetní sílu, pak v smartphonech a tabletech nebudou v bezpečí ani plnohodnotná hesla.
Zdroje: Infosecurity, BBC