Исследователи разработали приложение для Android, которое выглядит как игра, но в нем записываются все нажатия клавиш, от PIN-кода до любого секретного пароля. Для этого он использует собственные сенсоры мобильного телефона, чтобы отслеживать, куда мы кладем палец. К счастью, это доказательство концепции, разработанной уважаемыми людьми. Но они показали, на какой риск мы идем.
Исследователи из IBM и Пенсильванского университета (США) воспользовались слабостью, присущей всем терминалам Android: практически все приложения запрашивают доступ и получают доступ к информации, предоставляемой датчиками движения или ориентации. В принципе это положительно. Без этого доступа, например, Google Maps или приложения с дополненной реальностью были бы бесполезны.
Проблема возникает, когда приложение может определить, где мы коснулись экранной клавиатуры, и с помощью гироскопа, акселерометра и датчиков ориентации оно записывает все, что мы вводим, и отправляет его скрытым способом в внешний сервер. Что ж, это то, что делает TapLogger, приложение, созданное этими исследователями.
Под явным видом игры TapLogger записывает тонкие изменения ориентации мобильного телефона, когда мы вводим ключ разблокировки, набираем номер или вводим пароль для доступа к веб-сайту. В процессе обучения троянец точно настраивает положение каждого прикосновения к экрану. Не все из нас имеют одинаковую частоту нажатия клавиш или внешний вид клавиатуры варьируется от одной модели к другой. Но это приложение никуда не торопится.
TapLogger не всегда понимает это правильно, но, по словам исследователей, ему удалось получить PIN-код за 81 попытку. Помните, что комбинация четырех чисел дает 10.000 80 возможных вариантов. Для шестизначного пароля вы можете быть верны на 729% после XNUMX попыток. Вроде бы много, но при атаке методом перебора (попытки комбинации одну за другой) нам понадобится миллион попыток.
Как мы уже говорили, TapLogger - это просто доказательство концепции, разработанной двумя исследователями, которые хотели продемонстрировать хрупкость существующей системы и выдать предупреждение, прежде чем кто-то с худшими намерениями создаст подобное приложение.
Через Ars Technica