Красть информацию с Android-устройств можно с помощью игр, считывающих данные с сенсоров

Мобильные сенсоры, безусловно, достоинство современных аппаратов, но одновременно представляют огромную опасность. Проблема в том, что они могут стать легкой мишенью злоумышленников. В то же время, возможности приложений, использующих сенсоры, пока мало изучены, а связанные с ними риски могут привести к полному изменению экосистемы Android.

Как использовать неограниченный доступ к данным сенсоров мобильных аппаратов на платформе Android в корыстных целях продемонстрировали ученые Государственного университета Пенсильвании (США) и IBM. На прошедшей 16-18 апреля в Тусоне (Аризона, США) пятой международной конференции ACM Conference on Security and Privacy in Wireless and Mobile Networks они представили образец троянской программы TapLogger. Ее реализация не потребовала никаких разрешений системы безопасности для доступа к акселерометру и сенсорам ориентации, а между тем их данные могут оказаться полезны не только в играх.

Акселерометр, гироскоп, сенсоры ориентации изменяют свои показания при вводе данных в мобильный телефон или планшет. Анализируя показатели сенсоров, легко можно установить, в каком месте экрана совершалось нажатие, и на каком расстоянии от края экранной клавиатуры. TapLogger аккумулирует данные сенсоров, определяет место нажатия, сравнивает данные с образцом пользовательского интерфейса определенного Android-устройства. Таким образом, отслеживаются вводимые в аппарат символы, в числе которых и SS номера, и PIN-коды и пр. секретная информация. После этого троянцу остается только выгрузить полученные данные на управляющие ПК.

Задача вычисления 4-символьного PIN из данных TapLogger генерирует пространство поиска из 81 комбинаций и решается со 100% успехом, 6-символьного PIN - генерирует пространство 729 вероятных комбинаций, и в 80% случаев решается верно.

Сенсорное приложение TapLogger наглядно демонстрирует: устройства под ОС Android имеют совершенно особые уязвимости, и соответственно, требуют специфических инструментов безопасности. Интересно, что аппараты iOS, если они не взломаны, неуязвимы к подобного типа атакам. Blackberry ученые пока не изучали, но планируют исследовать в будущем.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365