Sledujte nás na YouTube

Zákeřný PIN Skimmer dokáže zjistit hesla díky kameře a mikrofonu

Uživatelé své chytré telefony používají stále častěji k bankovním operacím či manipulaci s citlivými daty, s čímž mnohdy souvisí i otázka bezpečnosti těchto úkonů. Vědecký tým z univerzity Cambridge se na tuto problematiku zaměřil a přišel s velice zajímavým zjištěním. Relativně jednoduchá aplikace PIN Skimmer, dokáže v momentě, kdy se majitel přihlašuje do elektronického bankovnictví zaznamenat jeho PIN kód, kterým se přihlašuje. K zaznamenání hesla PIN Skimmer využívá integrovaného mikrofonu a čelní kamerky, která má primárně sloužit pro videokomunikaci.

 

Software na základě výrazů obličeje odhaduje, které části displeje se právě dotýkáte, čemuž pomáhá i zvuková odezva kláves, kterou má hojný počet uživatelů stále aktivovanou. Pomocí těchto kontextových vodítek dokáže záludný software odvodit čtyřmístné heslo s poměrně slušnou přesností padesát procent po pouhých pěti pokusech. U osmimístných kódů se PIN Skimmer zvládl trefit v šesti případech z deseti. K testování posloužily smartphony Samsung Galaxy S III a Nexus S. Obrana proti těmto útokům může mít několik podob.

 

První z nich je důkladné sledování práv, které si instalovaná aplikace vyžaduje a neustále vylepšování bezpečnosti operačního systému Android ze strany Googlu. Další možností je používání delších přístupových hesel či nezvyklé rozložení kláves, což samozřejmě v obou případech povede k rapidnímu snížení uživatelského komfortu. V neposlední řadě pomůže, když budou samotní vývojáři při vývoji nových aplikací na toto riziko brát zřetel a podle toho náležitě přizpůsobí vstupní rozhraní. V neposlední řadě je nutné zmínit i ostatní metody přístupu, jakou je například otisk prstu či jiná forma biometrických údajů.

Richard Streit

Redaktor serveru SMARTmania.cz, fanoušek mobilní a výpočetní techniky. Vyznává a aktivně provozuje adrenalinové sporty. Mezi další zájmy patří hudba, příroda a moderní vědy. Jeho velkou vášní je Apple a partnerský web CeskyMac.cz.

7 komentářů

  1. TonnyB (neregistrovaný)

    Jak se mi takova aplikace muze dostat do iphonu, kdyz neprojde/bude smazana pred vstupem na Appstore? Nijak. Takze nepotrebuju zadny antiviry v mobilu. Naproti tomu android je jeden velkej bordel asi jako widle. Jeden tam nevi nikdy co vlastne stahuje za aplikaci. To je duvod proc bude android vzdycky shit.

    • mceza (neregistrovaný)

      S Jailbreakem to není problém…

      A i bez něj by to nemusel být problém. Stačí, aby měla aplikace právo běžet na pozadí i při zamčené obrazovce.

      Kotrolou v AppStoru sice procházejí, ale jak historie ukázala, Apple tu kontrolu moc vychytanou nemá a čas od času se tam něco škodlivého protáhne…

    • esaras (neregistrovaný)

      MCEZA: Vite a v tom je ten problem, ze do ios 6 beh aplikaci tretich stran na pozadi dovolen nebyl a na ios 7 jsem si jej vypnul, protoze jsem jej stejne nepouzival (pokud bych to u nejake aplikace potreboval, jde pouze teto jedne aplikaci povolit beh). Jinak metoda chlapcu z univerzity sli na komara s kanonem, exemplarne jsem kolegovi ze sgs2 ukrad prihlasovaci udaje k ebankingu i bez kamery a mikrofonu.

  2. M6HE (neregistrovaný)

    Vie mi niekto povedať či ak niektorá appka pýta povolenie: „čítať konfiguráciu služieb Google“, či to zahŕňa aj čítanie hesiel a prihlasovacích údajov (teda od emailov až po Banking?)

    Strašne veľa appiek toto povolenie si v aktualizáciách začína vyžadovať. napr aj viber. Všetci veselo aktualizujú..

    To, že nechápem načo im to je až tak nevadí ako možné nebezpečenstvo.

    Existuje appka, ktorá dokáže obmedziť povolenia, bez toho, aby sama si pýtala kopec povolení (teda sama nebola hrozbou) a nevyžadovala root ? Alebo bez root to nejde? Sú také appky (ak vôbec sú) účinné ?

    • esaras (neregistrovaný)

      Myslim, ze kolega co android pouziva mluvil o aplikaci, ktera podstrci ostatnim aplikacim neco jineho nez original dat v telefonu (vyzaduje ale skoro jiste root). Treba nejaka aplikace po vas vyzaduje pristup do kontaktu, tak ta aplikace je dostane, ale ne kontakty z vaseho telefonu, bude jim poskytnut nejaky fake seznam, ktery si tam zadate.

    • Systém nikdy nesmí zpřístupnit heslo. Hesla dokonce nejsou uložena ani na serveru.

      Tohle právo podle mě znamená, že daná aplikace má povoleno přistupovat na služby Google, do kterých jsi přihlášen, abys jsi se nemusel přihlašovat několikrát.

    • esaras (neregistrovaný)

      Tam je to reseno tokenem, uzivatel se nekde prihlasi, dostane token a tim tokenem se pak identifikuje pri dalsim pristupu, pricemz token ma omezenou platnost. Heslo se samozrejme nikde nuklada, jak pisete.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *