החיישנים בסמארטפון שלכם יכולים לרגל אחריכם
קבוצת חוקרים מאוניברסיטת קיימברידג' גילו כי הם יכולים להעזר בחיישנים שנמצאים בכמעט כל טלפון חכם על מנת לדלות מידע רגיש כגון סיסמאות וקודים אישיים - גם כאשר המכשיר מוגן על ידי מערכת אבטחה
למרות המאמצים של חברות כמו סמסונג, גוגל ואפל לפתח סמארטפון מאובטח, האקרים עדיין יכולים להשתמש בכלים פשוטים יחסית ובחיישנים הנמצאים בכל טלפון חכם על מנת לפרוץ למכשיר ולגנוב מידע רגיש - כמו למשל מספר ה-PIN של כרטיס האשראי שלכם, או הסיסמה האישית שלכם לחשבונות ואפליקציות אישיים ורגישים.
- The Talking Shoe: נעלולי הפלא של גוגל
- רכישת עומק אינטראקטיב: ענף החיישנים הישראלי בדרכו למעלה
- פרצת אבטחה באופיס משמשת לגניבה והונאות פיננסיות
שני חוקרים מאוניברסיטת קיימברידג', רוס אנדרסון ולורן סימון, חשפו במהל סוף השבוע האחרון מחקר חדש בתחום אבטחת סלולר. במסגרת המחקר החוקרים פיתחו שיטה המאפשרת גניבה מידע מהמכשיר הנייד דרך אפליקצייה שמתחזה לאפליקציה לגיטימית אבל מכילה רכיבי רוגלה. הרוגלה אז נעזרת במידע המגיע מהמיקרופון והמצלמה הקדמית - מידע שמגיע לידי האפליקציות בקלות על ידי כלי פיתוח פתוחים וידועים - על מנת לעקוף את ההגנות הכבדות של המכשיר. בין השאר, החוקרים השתמשו בטכניקה על מנת לפרוץ את מערכת Knox של סמסונג, שאמורה לבודד אפליקציות רגישות משאר החלקים של מערכת ההפעלה.
גלקסי S4 מבית סמסונג. גם מערכת האבטחה של החברה לא עוצרת את המצלמה מלרגל עליכם
כיצד זה עובד? החוקרים אוספים מידע שלכאורה אינו מסוכן - כמו שימוש במצלמה הקדמית על מנת לעקוב אחר תנועות האישונים של המשתמש, ובדרך זו להיכן הוא מסתכל ועל אילו כפתורים הוא לחץ. בדרך זו, המצלמה יכולה לתפקד ככלי ריגול שעוקב אחרי כל לחיצה ופעולה על המסך - ולעקוף גם את אמצעי האבטחה המחמירים ביותר.
בניסוי שערכו החוקרים, המערכת הצליחה לנחש נכונה 30% מהקודים אחרי מספר נסיונות בודדים, ו-50% מהקודים אחרי חמישה נסיונות. השימוש בססמאות ארוכות יותר מועילות רק במעט כנגד הטכניקה, כאשר קודים בני 8 ספורות פוצחו ב-45% מהמקרים אחרי חמישה נסיונות. החוקרים המליצו כי מתכנני מערכות ההפעלה יימנעו ממתן גישה גורפת לחיישני המכשיר, ויעברו לגישה שמתירה את השימוש בהתקנים כמו מיקרופון ומצלמה רק כאשר יש בכך צורך גלוי.
