Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Wykradanie PIN-ów kamerą i mikrofonem

18 listopada 2013, 21:01 | Aktualności | 0 komentarzy

Większość użytkowników popularnych smartfonów zabezpieczając dostęp do własnego urządzenia korzysta z poczciwego PIN-u. Do sporej liczby najrozmaitszych ataków na ten rodzaj kontroli dostępu dołączyła właśnie metoda wykorzystująca… kamerę oraz mikrofon wbudowany w samo urządzenie.

Naukowcy z Cambridge opracowali interesującą praktyczną metodę pozwalającą programowi zainstalowanemu w smartfonie na odgadnięcie PIN-u stosowanego do odblokowywania urządzenia.

PIN Skimmer, czyli aplikacja prezentująca powyższą metodę w praktyce, w celu odkrycia kodu może wizualnie śledzić orientację telefonu oraz ruchy samego użytkownika, a także identyfikować dźwięki generowane przy okazji wybierania poszczególnych cyfr.

Zaledwie tyle wystarczy, by program był w stanie ze sporym prawdopodobieństwem poprawnie wywnioskować nasz PIN.

Jest to więc interesujący przykład ataku typu side channel, który może potencjalnie zostać przeprowadzony przez malware infekujący naszego smartfona. Co ciekawe, badacze postarali się nawet o wyłączenie diody sygnalizującej pracę wbudowanej kamery, która mogłaby zaalarmować realną ofiarę.

PIN Skimmer -- schemat działania

PIN Skimmer — schemat działania

PIN Skimmer dość skutecznie radził sobie z kodami krótkimi (4 cyfry), a co może na pierwszy rzut oka dziwić, jeszcze lepsze wyniki osiągał w przypadku kodów dłuższych (np. 8 cyfr).

Warto dodatkowo przypomnieć, że skimmerem nazywamy zazwyczaj urządzenie służące przestępcom do kopiowania kart płatniczych oraz rejestrowania skojarzonych z nimi kodów PIN.

Powyższy atak jest oczywiście na chwilę obecną jedynie akademicką prezentacją potencjalnych możliwości. Niemniej jednak warto zdawać sobie sprawę z tego, na jak wiele rozmaitych sposobów nowoczesne urządzenie wyposażone w dziesiątki interfejsów i różnorakich modułów mogą zdradzać nasze sekrety…

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz