هک رمز عبور گوشی با استفاده از حسگرهای آن
گروهی از محققان ثابت کردهاند که هکرها میتوانند با گرفتن اطلاعات از حسگرهای گوشی هوشمند، پین و رمز عبور را به سرقت ببرند.
درون گوشیهای هوشمند، حسگرهای زیادی وجود دارد (مثلا جیپیاس، دوربین، میکروفون، شتابسنج، مغناطیسسنج، مجاورت، ژیروسکوپ، گامشمار، انافسی) که ممکن است مورد سوءاستفاده هکرها قرار گرفته و اطلاعات مربوط به فعالیتهای کاربر را لو دهند. گروهی از محققان دانشگاه نیوکاسل نشان دادهاند که هکرها به طور بالقوه میتوانند زمانی که صاحب گوشی در حال عبور از مرحله تایید هویت وبگاهها یا برنامههاست، پینها و رمزهای عبور وارد شده توسط وی را حدس بزنند. تکنیک طراحی شده توسط کارشناسان، دقت شگفتانگیزی دارد: کارشناسان میتوانند زمانی که صاحب گوشی در حال تایپ کردن کد مخفی است، زاویه و حرکت گوشی را زیر نظر بگیرند. متاسفانه گوشیهای تلفن همراه، جلوی دسترسی وبگاهها و برنامهها به اطلاعات حسگرها را نمیگیرند.
در مقالهای با عنوان «سرقت پین از طریق حسگرهای گوشی تلفن همراه: خطر واقعی در مقابل احساس کاربر» که کارشناسان منتشر کردند، آمده است: «اکثر گوشیهای هوشمند، تبلتها و دیگر ابزارهای پوشیدنی اکنون به حسگرهای فراوانی مجهز شدهاند؛ از جیپیاس معروف، دوربین و میکروفون گرفته تا ابزارهایی مانند ژیروسکوپ، حسگر مجاورت، انافسی و حسگرهای چرخشی و شتابسنجها؛ اما از آنجا که برنامههای تلفن همراه و وبگاهها برای دسترسی به این حسگرها نیازی به کسب اجازه از کاربر ندارند، برنامههای مخرب میتوانند مخفیانه دادههای حسگرها را شنود کرده و از این دادهها برای کشف طیف متنوعی از اطلاعات حساس شما از قبیل زمانبندی تماسها، فعالیتهای فیزیکی و حتی اقدامات لمسی، پینها و رمزهای عبور استفاده کنند.»
محققان تا به حال توانستهاند از حدود ۲۵ حسگر گوشیهای هوشمند، دادههایی را به دست آورند. آنها در یک ویدئو نحوه انجام این کار را به نمایش گذاشتهاند و برای اثبات ادعای خود، کد مخربی را طراحی کردند تا به جمعآوری دادهها از گوشیهای iOS بپردازد. کد مزبور هم در برنامههای تلفن همراه قابل جاگذاری است و هم میتوان با بارگذاری آن بر روی یک وبگاه، کاربران را به سمت بازدید از این وبگاه سوق داد. فقط کافی است با ترفندی کاربران را به بازدید از وبگاه یا نصب برنامه ترغیب کنیم. بعد از آن، هر بار که کاربر هنگام بازدید از وبگاه یا استفاده از برنامه نصب شده، مشغول تایپ کردن در گوشی خود شود، برنامه مخرب که در پسزمینه گوشی در حال اجراست، به دادههای حسگرها دسترسی پیدا کرده و اطلاعاتی را ضبط میکند که از آنها میتوان برای حدس زدن پین یا رمز عبور بهره برد.
محققان موفق شدند پینهای چهار رقمی را در نخستین تلاش، با دقت ۷۴ درصد و در پنجمین تلاش، با دقت ۱۰۰ درصد حدس بزنند. این نتایج، حاصل دادههای ثبت شده از پنجاه وسیله بود و حاصل اطلاعات گردآوری شده از فقط حسگرهای حرکتی و جهتیابی بود؛ دسترسی به این حسگرها به هیچ مجوز خاصی نیاز ندارد. محققان یافتههای خود را در اختیار مرورگرهای مطرح دنیا از قبیل گوگل قرار دادند و اپل، موزیلا و سافاری تا حدودی این مشکل را برطرف کردهاند. در هر حال، محققان در حال همکاری با شرکتهای فعال در صنعت فناوری اطلاعات هستند تا راهکاری مناسب برای برطرف کردن قطعی این گونه حملات بیابند.
ارسال نظر