Содержание |
2020: Исследование безопасности четырех- и шестизначных PIN-кодов
16 марта 2020 года стало известно, что исследователи безопасности Филипп Маркерт (Philipp Markert), Даниэль В. Бейли (Daniel V. Bailey), Максимилиан Голла (Maximilian Golla), Маркус Дюрмут (Markus Dürmuth) и Адам Дж. Авив (Adam J. Aviv) в рамках своего исследования изучили, как пользователи выбирают PIN-коды для своих мобильных устройств и как их можно убедить в использовании более безопасной комбинации номеров. Как оказалось, использование 6-значных PIN-кодов не намного эффективнее 4-значных.
В ходе эксперимента пользователям Apple- и Android-устройств поручили установить четырех- или шестизначные PIN-коды. Некоторые участники могли свободно выбирать PIN-код, тогда как другим было разрешено выбирать только комбинации, не включенные в черный список. Если они пытались использовать одну из запрещенных комбинаций, то получали соответствующее предупреждение.
Специалисты использовали различные черные списки, в том числе те, который они извлекли из iPhone в результате другого эксперимента . Как оказалось, шестизначные PIN-коды не обеспечивают намного большую безопасность, чем четырехзначные.
С математической точки зрения, конечно, есть огромная разница. Четырехзначный PIN-код можно использовать для создания 10 тыс. различных комбинаций, а шестизначный — для создания 1 млн. Однако пользователи предпочитают определенные наборы чисел и используют их намного чаще, например, 123456 и 654321, — пояснили эксперты. |
Как отметили исследователи, «идеальный» черный список PIN-кодов должен содержать около 1 тыс. записей и немного отличаться от списка Apple. Наиболее распространенными четырехзначными PIN-кодами оказались 1234, 0000, 2580, 1111, 5555, 5683, 0852, 2222, 1212 и 1998, а шестизначными — 123456, 654321, 111111, 000000, 123123, 666666, 121212, 112233, 789456 и 159753[1].
2019: Метод кражи PIN-кодов и паролей с мобильных устройств
Кейлоггеры – не единственное средство, с помощью которого злоумышленники могут узнать пароль планшета или смартфона. Группа ученых из Кембриджского университета рассказала в марте 2019 года метод акустической атаки по сторонним каналам[2], позволяющий определить вводимые на виртуальной клавиатуре символы по звуковым волнам, возникающим при нажатии на клавиши[3].
Микрофон(ы) мобильного устройства способен фиксировать звуковые волны и «слышать» нажатия пальца, а искажения волны позволяют определить место тапа на экране, поясняют авторы работы. Таким образом, записывая аудио через встроенный микрофон, вредоносное приложение может распознать вводимый пользователем текст.TAdviser выпустил Гид по российским операционным системам
Команда разработала Android-приложение, которое фиксирует звук тапов и коррелирует его с нажатием на клавиши с помощью алгоритма машинного обучения, настроенного на определенную модель смартфона или планшета. Исследователи испытали новый метод на устройствах LG Nexus 5 и Samsung Nexus 9. К эксперименту, который проводился в помещениях со сравнительно высоким уровнем шума (общий зал, читальный зал и библиотека), привлекли 45 участников.
Первая группа добровольцев в случайном порядке вводила цифры от 1 до 9 (10 попыток), вторая – 200 уникальных четырехзначных PIN-кодов, третья – буквы, а четвертая – слова, состоящие из пяти букв. С помощью нового метода ученым удалось распознать 61% PIN-кодов (за 20 попыток), 7 и 19 паролей из 27 на Nexus 5 и Nexus 9 соответственно.
По словам экспертов, существует несколько способов предотвратить подобную атаку, например, физически отключить микрофон, использовать микрофоны с меньшей частотой дискретизации, покрыть экран дополнительным слоем стекла, поглощающим звук от нажатия, или запретить запись звука во время ввода данных. Однако все эти меры имеют свои нюансы, которые могут сказаться на дизайне и удобстве использования устройства, признают исследователи. Вместо этого они предлагают реализовать механизм, блокирующий микрофон в то время, когда пользователь вводит пароль или иные конфиденциальные данные.
2017
Нейросеть подсмотрела PIN-код смартфона в данных акселерометра
Нейросеть научили распознавать PIN-код пользователя по данным с акселерометра, датчика освещенности и других сенсоров смартфонов с точностью 84 процентов. Разработчики отмечают, что для доступа к этим сенсорам приложениям не нужно запрашивать разрешение пользователя, сообщается в исследовании, препринт которого опубликован Cryptology ePrint Archive[4][5].
Современные смартфоны могут содержать большое количестве конфиденциальной информации: историю переписки, приложения для управления банковским счетом или важные документы. Из-за этого злоумышленники разрабатывают новые способы взламывать смартфоны, причем, не все из них делают это напрямую с помощью уязвимостей в программном обеспечении. Некоторые разработчики создают методы взлома, в основе которых лежит принцип атаки по сторонним каналам. Он подразумевает, что атака производится не на систему как таковую, а на ее практическую реализацию — например, можно узнать производимые процессором операции и их параметры, измеряя его энергопотребление.
Исследователи в области информационной безопасности под руководством Шивама Бхасина (Shivam Bhasin) из Наньянского технологического университета в Сингапуре использовали для незаметного определения PIN-кода смартфона данные с его датчиков. Они написали приложение для Android-смартфонов, которое собирает данные с датчиков, а затем отсылает их на сервер для анализа. Разработчики выбрали шесть датчиков, которые присутствуют в большинстве современных смартфонов, и при этом для их использования приложению не нужно получать разрешение пользователя: акселерометр, гироскоп, датчик вращения, магнитометр и датчик освещенности.
Поскольку цифры на клавиатуре расположены в известных местах, по наклону устройства или изменению количества света, попадающего на датчик освещенности можно вычислить на какую клавишу нажал пользователь, без необходимости в данных непосредственно с сенсорного экрана. Для того, чтобы автоматически вычислять цифры из большого объема данных исследователи задействовали разные алгоритмы, но в итоге остановились на типе нейросети, называемом многослойным перцептроном.
Протестировав работу нейросети на добровольцах, исследователи выяснили, что при тестах на всех десяти тысячах возможных комбинациях четырех цифр точность распознавания при 20 попытках составила 83,7 процентов, а при распознавании среди 50 самых распространенных PIN-кодов точность составила 99,5 процентов с одной попытки. Исследователи также выяснили, что данные с разных датчиков давали разную эффективность, а наилучшие результаты дали комбинированные данные с акселерометра и гироскопа.
Разработка стандарта безопасности для PIN-on-Glass
Как стало известно в начале декабря 2017 года, ведутся работы над стандартом безопасности для PIN-on-Glass, который может быть готов уже в декабре 2017 года.
Технология PIN-on-Glass обеспечивает возможность ввода проверочного кода PIN на экране смартфона, планшета или другого коммерческого устройства. Ожидается, что скоро с помощью этой технологии покупатели во всем мире смогут вводить персональный идентификационный номер на экране своего устройства для совершения покупок.
Как пояснил главный технический директор Совета по стандартам безопасности PCI Трой Лич, особенность технологии в том, что ввод PIN-кода будет осуществляться на устройствах COTS (коммерческие устройства), не предназначенных исключительно для оплаты.
С целом стандарт на ввод ПИН-кода через приложение — это один из семи PCI стандартов, опубликованных или обновленных в 2017 году. Данный стандарт позволяет отделить ПИН от другой информации счета. Предполагается, что изолирование ПИН-кода от другой информации поможет предотвратить атаки мошенников, нацеленные на кражу платежных данных в общественных местах, добавил Лич.
Три главных компонента стандарта для PIN-on-Glass:
- Изолирование PIN от PAN.
- Рассматриваются требования программного обеспечения для платежных приложений, которые управляют транзакциями на коммерческих устройствах. Для создании изоляции необходимо обеспечить возможность вводить номер счета таким способом, чтобы он не мог быть дешифрован на коммерческих устройствах.
- Безопасность программного обеспечения.
- В целях обеспечения должной защиты ПИН-информации необходимо повышение безопасности коммерческих устройств.
- Мониторинг.
- Удаленный контроль должен быть обеспечен независимой стороной, чтобы подтвердить, что программное обеспечение коммерческих устройств и транзакция имеют целостность и ведут себя должным образом, а также, чтобы найти различные виды подозрительной активности.[6]
Любой iPhone можно взломать через новую «дыру» в JavaScript
Следите за пальцами
Исследователи вопросов безопасности из университета Ньюкасла в Великобритании опубликовали работу в издании Journal of Infermation Security, в которой описали возможность отслеживать пользовательские жесты на смартфонах. Для этого потребуется лишь небольшое приложение на JavaScript, которое эксплуатирует программные интерфейсы (API) сенсоров движения устройства[7].
По утверждению авторов исследования, это приложение может собрать достаточно информации с сенсоров, чтобы в 70% случаев выяснить комбинацию разблокировки с первой попытки. С третьей попытки скрипт PINlogger.js «угадывает» PIN в 94% случаев.
«Большая часть смартфонов, планшетов и других носимых устройств сегодня оснащены множеством сенсоров, в диапазоне от общеизвестных GPS-модулей, камер и микрофонов до гироскопов, сенсоров дальности и вращения, акселерометров, а также NFC-модулей. Поскольку мобильные приложения и вебсайты не нуждаются в специальных разрешениях на доступ к большинству из них, вредоносные программы могут тайно шпионить за потоками данных с ваших сенсоров и использовать их для получения широкого диапазона важных сведений о вас, в том числе, о продолжительности звонков, физической активности и даже... о PIN и паролях», — говорится в публикации исследователей.
И это еще не все
Как отметила в пресс-релизе руководитель исследовательской группы доктор Мариам Мернежад (Maryam Mehrnezhad), ее коллегам удалось выяснить, что в нескольких мобильных браузерах вредоносный код, встроенный в одну страницу, может следить за всеми действиями пользователя на всех остальных вкладках. То есть, например, если в одной вкладке открыт ресурс, содержащий вредоносный скрипт, а в другой — страница авторизации банка, то скрипт все равно может перехватывать введенные пользователем данные. Иногда предотвратить это поможет закрытие «вредоносной» вкладки, иногда — только закрытие браузера целиком.
Примечания
- ↑ Насколько безопасны четырех- и шестизначные PIN-коды?
- ↑ Hearing your touch: A new acoustic side channel on smartphones
- ↑ Представлен новый метод кражи PIN-кодов и паролей с мобильных устройств
- ↑ There Goes Your PIN: Exploiting Smartphone Sensor Fusion Under Single and Cross User Setting
- ↑ Нейросеть подсмотрела PIN-код смартфона в данных акселерометра
- ↑ PIN-on-Glass: новый стандарт ввода ПИН-кодов
- ↑ CNews: Любой iPhone можно взломать через новую «дыру» в JavaScript