PIN Skimmer: na smarťass se ti dostanou mikrofonem, kamerou

ikona střetu black hat a white hatCo umí aplikace PIN Skimmer, smarťácký bratříček bankovních skimmerů, zkoumali Anderson a Simon z Cambridge univerzity.

Pro SOOM.cz Daniel Beránek:

PIN Skimmer: ovládnutí smartphonu mikrofonem a kamerou

Víte, jak se dostat do vlastního smartphonu? S PIN Skimmerem to zvládne i útočník.

Skimmery jsou systémy na zachytávání přístupových údajů – typicky bankovních, nejčastěji instalované u bankomatů. Za pomoci PIN Skimmer se výzkumníkům z Cambridge univerzity dařilo úspěšně lámat PINy mobilních zařízení. Konkrétně 4místné PINy padly v polovině případů už po pěti pokusech, 8místné v 60 % po deseti pokusech. Překvapuje nás, jak až moc dobře to funguje, říká profesor bezpečnostních technologií Ross Anderson.

Aplikace využívá vstupů přední kamery a mikrofonu. Určuje orientaci zařízení. Zpracovává pohyb obličeje vůči zařízení (a prý i výrazy obličeje) a páruje tóny s tlačítky virtuální klávesnice. Díky tomu dokáže zúžit počet kombinací číslic PINu tak, že dosahuje výše zmíněné úspěšnosti jeho zlomení.

Při trošce vynalézavosti dokáže totéž kterákoliv aplikace s přístupovými právy ke kameře a mikrofonu, dodává Anderson s kolegou Laurentem Simonem. Jakmile je získán PIN, stačí v některých uživatelských prostředích už jen zadat pokyn k převodu peněz.

Protiopatření sahají od jednodušších (nepoužívání nezaheslovaného přístupu k důležitým aplikacím, neužívání PINu k autorizaci uvnitř systému) ke komplikovanějším (vícemístné PINy a randomizátory virtuální klávesnice) – ty ovšem už naplňují klasický rozpor security vs. usability.

PIN Skimmer především indikuje velmi nebezpečný trend zneužití množství přístupů a dat v mobilních zařízeních, která navíc nabízejí celé spektrum technologií k zneužití: root, GPS, akcelerometr, kamery, mikrofony… stačí se podívat na požadovaná práva při instalaci většiny aplikací. Pokud vezmeme v úvahu vysokou úspěšnost tohoto typu lámání a hrubou výpočetní sílu, pak v smartphonech a tabletech nebudou v bezpečí ani plnohodnotná hesla.

Zdroje: InfosecurityBBC