В Великобритании создали скрипт для кражи PIN-кодов с помощью смартфона

Ангелина Кречетова Редакция Forbes

Исследователям удалось с первого раза взломать PIN-коды с 70%-ой точностью, и с пяти попыток — почти со 100%-ой точностью. В этом им помогли специальный скрипт и нейросеть

Исследователи в области кибернетики из Университета Ньюкасла в Великобритании показали, насколько легко вредоносные веб-сайты и установленные приложения могут следить за пользователями, используя информацию, полученную с помощью датчиков движения на мобильных телефонах. В ходе работы ученые пришли к тревожным выводам: команде университета с первого раза удалось взломать четырехзначные PIN-коды с 70-ой точностью, и почти со 100-ой точностью — с пяти попыток.

Ученые отмечают, что для эксперимента использовали данные, которые удалось собрать при помощи многочисленных датчиков и приложений внутри смартфона на Android. Специалисты также написали на JavaScript скрипт PINlogger.js, с помощью которого через браузер легко выяснили, какие кнопки нажимает пользователь на экранной клавиатуре. Скрипт считывает данные с сенсоров наклона смартфона при каждом нажатии и затем нейросеть анализирует эту информацию и распознает PIN-код, говорится в публикации.

Несмотря на столь серьезную угрозу, работа специалистов показывает, что люди не знают о рисках, и большинство из пользователей карт с PIN-кодами не имеет представления о том, что делают большинство из двадцати пяти датчиков, которые встроены в современные смартфоны. Несмотря на то, что «крупные игроки» отрасли в курсе проблемы, никто пока так и не смог найти решение.

«Все мобильные платформы знают о проблеме», — говорит научный сотрудник, ведущий автор работы, доктор Мариам Мехрнежад в беседе с TechCrunch. «Мы сообщили им об этом, и с тех пор пытались решить эту проблему вместе. Это исследование все еще продолжается с участием обеих сторон. Мы стремимся найти лучшее решение», — пояснила она.

Мехрнежад отметила, что большинство смартфонов, планшетов и других носимых устройств оснащены множеством датчиков: от повсеместных GPS, камеры и микрофона до таких инструментов, как гироскоп, бесконтактный датчик, NFC, датчики вращения и акселерометр.

«При этом не всем мобильным приложениям и веб-сайтам нужно запрашивать разрешение на доступ к большинству из устройств, таким образом, вредоносные программы могут незаметно «прослушивать» данные вашего сенсора и использовать его для обнаружения конфиденциальной информации о вас, например, времени вызова по телефону, физические действия и даже ваши касания, PIN-коды и пароли», — объяснила собеседница издания.

Пока команда университета предлагает несколько способов борьбы с уязвимостями, среди них регулярное изменение PIN-кодов и выход из любых приложений, которые сейчас не используются, указывает TechCrunch.

Смотрите также: Почему президент PayPal стал жертвой хакеров

В августе 2015 года компания Sec-Tec, специализирующаяся на информационной безопасности, опубликовала свое исследование, в котором указывалось, что украсть PIN-код банковской карты с PIN-пада банкоматов можно даже при помощи недорогих тепловизоров для смартфонов. Компания тестировала на безопасность несколько банкоматов, замков и сейфов. В результате участники проекта выяснили, что кнопки хранят тепло человеческой руки более минуты после использования клавиш. Это позволяет мошенникам точно определить, какие кнопки использовались, затем требуется лишь подобрать их последовательность. При этом, как указывали в компании, не во все терминалы встроен механизм для предотвращения многократного набора PIN-кода, что позволяет испытать все комбинации из четырех цифр.