О чём расскажут хакеру ваши смарт-часы?
08 июля 2016г.
Вы же наверняка знаете, у любых фитнес-трекеров и смарт-часов есть сенсоры физической активности пользователя. Слишком долго находитесь без движения? Например, Apple Watch в таком случае «вжарит» в запястье виброимпульсом — дескать, всё, товарищ компьютерщик, пора бы и размяться. Программу можно настроить так, что без пары приседаний вибрация в часах не прекратится.
Эта система стала замечательным инструментом для профессиональных хакеров. Уязвимость обнаружили учёные из Университета Бингемтон в Нью-Йорке (США). Они занимаются исследованиями в области компьютерной безопасности уже долгие годы, но какого было их удивление, что украсть банковские сведения можно без сложных схем социальной инженерии и рисков всего лишь с помощью чужих смарт-часов. Написанный наскоро алгоритм легко распознаёт PIN-код от платёжной карточки по движениям руки при его наборе. Точность не меньше 80%!
Возглавляющий исследование профессор Ян Ван (Yan Wang) прокомментировал ситуацию:
Учёные смогли получить практически все PIN-коды, которые испытуемые набирали на терминалах с надетыми на руку смарт-часами. Там были модели LG Urbane W150, Moto 360 и внешнего датчика Ivensense MPU-9150. Специалисты объясняют простоту алгоритма тем, что размеры терминала для набора PIN практически всегда одни и те же, цифры на них располагаются одинаково, движения руки пользователя повторяются… Это входной билет для хакера!
Схема, с которой злоумышленнику предстоит вторгнуться в финансовую жизнь жертвы тоже не имеет особенных препятствий. Достаточно разместить Bluetooth-перехватчик сигнала с носимого гаджета на смартфон поблизости с банкоматом. Альтернативный вариант — загрузить вредоносный код в операционную систему смарт-часов.
Ссылка на официальное исследование.
Возглавляющий исследование профессор Ян Ван (Yan Wang) прокомментировал ситуацию:
Должен признаться, я изначально считал эту возможность настолько маловероятной, что сравнивал её с научной фантастикой. Но это действительно реально. Есть так много датчиков на этих носимых гаджетах, которые обеспечивают исчерпывающую информацию о движении руки пользователя.
Учёные смогли получить практически все PIN-коды, которые испытуемые набирали на терминалах с надетыми на руку смарт-часами. Там были модели LG Urbane W150, Moto 360 и внешнего датчика Ivensense MPU-9150. Специалисты объясняют простоту алгоритма тем, что размеры терминала для набора PIN практически всегда одни и те же, цифры на них располагаются одинаково, движения руки пользователя повторяются… Это входной билет для хакера!
Схема, с которой злоумышленнику предстоит вторгнуться в финансовую жизнь жертвы тоже не имеет особенных препятствий. Достаточно разместить Bluetooth-перехватчик сигнала с носимого гаджета на смартфон поблизости с банкоматом. Альтернативный вариант — загрузить вредоносный код в операционную систему смарт-часов.
В обоих случаях учёные рекомендуют владельцам просто набирать код другой рукой, либо делать круговые («сбрасывающие») движения после каждого нажатия кнопки при наборе PIN на терминале.
Ссылка на официальное исследование.
