Kraja gesel s tipali v telefonih

Raziskovalci univerze v Newcastlu so dokazali, da lahko spretno napisana zlonamerna koda, dovolj je menda že koda v Javascriptu na spletni strani, prestreže in dekodira vnos varnostnih gesel PIN zgolj z analizo podatkov, ki ji telefoni zbirajo s tipali, kot je na primer elektronski žiroskop.

Nevarnost nastaja tedaj, ko uporabniki uporabljajo aplikacijo za avtentikacijo na telefonu in vnašajo varnostno geslo PIN prek zaslonske tipkovnice. Pri tem na telefonu povzročajo drobne premike in tresljaje, ki pa so vse prej kot zgolj naključni. Težava je v temu, ker imajo tipično vsi programi in spletne strani na mobilnih napravah nenehen prost dostop do podatkov, ki jih zbirajo tipala in so zato lahko zlorabljeni.

Raziskovalci so s pomočjo preproste kode, zagnanim denimo v enem od zavihkov brskalnika, uspeli prebrati vrednosti tipal in jih analizirali s pomočjo ne preveč zapletenih algoritmov s pomočjo strojnega učenja. Iz tresljajev so torej razbrali uporabnikove vnose.

Rezultati so presenetljivi. Pri testu z naključno izbranimi uporabniki so uspeli pravilno razbrati številko PIN že v prvem poizkusu s točnostjo približno 70%. Za 100% natančnosti prestrezanja pa je dovolj le pet zaporednih prebiranj pri poizkusih vnosa PIN!

Avtorji raziskave so že obvestili proizvajalce telefonov, še zlasti pa mobilnih spletnih brskalnikov, kot najbolj nevarnega okolja za tovrstne napade. Apple in Firefox sta ranljivosti v brskalnikih že popravila, Google pa rešitev še išče.

w9uH2UPiDN4