Czujniki, jakimi nafaszerowane są smartfony wcale nie pomagają w zabezpieczaniu go. Wręcz przeciwnie – naukowcy udowodnili właśnie, że większość aplikacji dostaje pakiet danych, które wystarczą do odgadnięcia (i to z prawie stuprocentową dokładnością!) numeru PIN, na przykład do bankowości elektronicznej.
Wpisując PIN w telefonie, przechylamy go w specyficzny sposób, a palce w określony sposób zasłaniają światło docierające do czujnika oświetlenia. Foto: Adam Sieńko
Według naukowców z Nanyang Technological University w Singapurze (NTU Singapore) akcelerometr, żyroskop i czujniki zbliżeniowe w nowoczesnych smartfonach są potencjalną luką w zabezpieczeniach tych sprzętów.
Jak to możliwe? Otóż wpisując PIN w telefonie, przechylamy go w specyficzny sposób, a palce w określony sposób zasłaniają światło docierające do czujnika oświetlenia. Wszystkie czujniki są na tyle czułe, że bez problemu odnotowują różnice powstające podczas wpisywania różnych cyfr. W pierwszej chwili może to brzmieć jak żart, ale naukowcy z Singapuru w odgadywaniu PIN-u osiągnęli skuteczność rzędu 99,5 procent w maksymalnie trzech próbach.
– Gdy trzymasz telefon w ręku i wprowadzasz kod PIN, sposób w jaki urządzenie porusza się po naciśnięciu cyfr 1, 5 lub 9, jest bardzo różny. Naciśnięcie cyfry 1 prawym kciukiem zablokuje więcej światła niż przy naciśnięciu cyfry 9 – wyjaśnia kierujący badaniami dr Shivam Bhasin.
Zespół naukowców zajął się telefonami z Androidem i zainstalował niestandardową aplikację, która zbierała dane z sześciu czujników: akcelerometru, żyroskopu, magnetometru, czujnika zbliżeniowego, barometru i czujnika światła otaczającego.
W ten sposób, korzystając z kombinacji informacji zebranych z sześciu różnych czujników z telefonów i najnowocześniejszych algorytmów uczenia maszynowego i głębokiego uczenia się, naukowcom udało się odblokować różne smartfony z Androidem. Ta technologia umożliwia bezproblemowe łamanie zabezpieczeń i szybkie wyłapanie jednej, właściwej kombinacji klawiszy z 10 000 możliwych kombinacji. Dotyczy to czterocyfrowych kodów PIN. Co więcej – skuteczność odgadywania kodu rośnie wraz z czasem działania złośliwej aplikacji.
Naukowcy są przekonani, że ich praca podkreśla znaczną wadę w zakresie bezpieczeństwa smartfonów, ponieważ korzystanie z czujników w telefonach nie wymaga żadnych uprawnień. Są one dostępne dla wszystkich aplikacji.
Aby zabezpieczyć swoje urządzenia przenośne, dr Bhasin zaleca używanie kodów PIN z więcej niż czterema cyframi, połączonych z innymi metodami uwierzytelniania, takimi jak jednorazowe hasła, uwierzytelnianie oraz rozpoznawanie linii papilarnych lub rysów twarzy.
