Czy wydaje ci się, że jeśli nie stoisz pod kamerą i nikt nie zagląda ci przez ramię, to twoja aktywność na smartfonie jest tajemnicą? I że bezpieczniej jest wpisywać hasła na telefonie, niż na komputerze? Jeśli tak, możesz zacząć się bać.
52. odcinek Świata w trzy minuty – o cyberbezpieczeństwie. A raczej jego braku. Zapraszam!
Jednym z tematów, które staram się śledzić na bieżąco, jest cyberbezpieczeństwo. Kreatywność specjalistów od bezpieczeństwa jest wprost niesamowita. W ostatnim czasie światło dzienne ujrzał nowy sposób podglądania tego, co robimy na telefonie.
Badacze z Newcastle University wzięli na warsztat współczesne smartfony i tablety, które są nie tylko małymi komputerami, ale też mają mnóstwo dodatkowych czujników. Na przykład pozwalających zbadać, pod jakim kątem nachylone jest urządzenie czy wykryć jego ruch w przestrzeni.
W przeważającej liczbie wypadków przydaje się to do gier czy programów nawigacyjnych. Dostęp do danych o ruchu urządzenia wydaje się też mieć mały wpływ na prywatność, więc większość systemów pozwala je odczytywać bez konieczności każdorazowego zatwierdzenia przez użytkownika. Co, w dużym skrócie oznacza, że sięgnąć po nie może aplikacja ukryta w kodzie strony internetowej.
Co możemy zrobić z takimi danymi? Do tej pory myśleliśmy, że nic. Okazuje się jednak, że każde nasze dotknięcie ekranu – kliknięcie, przesunięcie palca, przytrzymanie – generuje charakterystyczny ruch całego urządzenia. Który po przepuszczeniu przez sztuczną inteligencję (to temat na inny odcinek, ale sieci neuronowe stają się coraz tańsze i coraz bardziej wydajne) pozwalają na zdekodowanie naszych kliknięć z dużym prawdopodobieństwem sukcesu.
PINLogger, eksperymentalny kod przygotowany przez badaczy, w pierwszym podejściu zgadł wpisywany kod PIN z dokładnością 74%, w trzecim – z dokładnością 94%.
Czy to dla nas problem? Niestety, tak. Telefon jest kluczowym elementem, który pozwoli dotrzeć do naszej poczty, bazy haseł, konta bankowego oraz potwierdzenia tożsamości w systemie e-administracji. W momencie, gdy w tle będziemy mieli otwartą stronę internetową zawierającą śledzący nas kod, większość naszych działań na telefonie przestaje być tajemnicą. Wystarczy, że spróbujemy na telefonie wpisać swoje hasło do poczty czy banku albo napiszemy romantycznego SMSa, włamywacz będzie miał o nim informację bez konieczności włamywania się na nasze urządzenie. A jak pokazał przykład sprzed kilku miesięcy, nawet strona Komisji Nadzoru Finansowego może być wykorzystana do przeprowadzenia ataku na niczego nieświadomych użytkowników.
Jak się bronić? Na razie jest to trudne. W chwili ujawnienia nowego sposobu ataku, jedynie mobilne wersje Firefoksa i Safari częściowo ograniczyły stronom internetowym dostęp do czujników. Z drugiej strony, spowodowało to oczywiście kłopot ze stronami, które taki dostęp powinny mieć. Co w dużym skrócie oznacza, że na uniwersalne rozwiązanie przyjdzie nam jeszcze poczekać – a część telefonów odpowiedniej aktualizacji nigdy nie otrzyma. Bo kto, poza Apple (tu wielki ukłon w stronę tej firmy) przygotowuje aktualizacje na przedpotopowe modele?
I to tyle w 52. odcinku Świata w trzy minuty. Usłyszymy się za tydzień – a w międzyczasie zapraszam na stronę TrzyMinuty.com, gdzie znajdziesz odnośniki do materiałów źródłowych dzisiejszego odcinka oraz, oczywiście, pełne archiwum. Zajrzyj też na Podkasterzy.pl, gdzie wkrótce pojawi się ciekawa informacja. Dzięki i do usłyszenia!
Źródła:
- How criminals can steal your PIN by tracking the motion of your phone (komunikat prasowy)
- Stealing PINs via mobile sensors: actual risk versus user perception (praca naukowa)
- Attackers can steal smartphone users’ PINs by tapping into data collected by mobile sensors (media o problemie)
