هک رمز عبور گوشی با استفاده از حسگرهای آن

وب سایت سایبربان: گروهی از محققان ثابت کرده‌اند که هکرها می‌توانند با گرفتن اطلاعات از حسگرهای گوشی هوشمند، پین و رمز عبور را به سرقت ببرند.


درون گوشی‌های هوشمند، حسگرهای زیادی وجود دارد (مثلا جی‌پی‌اس، دوربین، میکروفون، شتاب‌سنج، مغناطیس‌سنج، مجاورت، ژیروسکوپ، گام‌شمار، ان‌اف‌سی) که ممکن است مورد سوءاستفاده هکرها قرار گرفته و اطلاعات مربوط به فعالیت‌های کاربر را لو دهند. گروهی از محققان دانشگاه نیوکاسل نشان داده‌اند که هکرها به طور بالقوه می‌توانند زمانی که صاحب گوشی در حال عبور از مرحله تایید هویت وبگاه‌ها یا برنامه‌هاست، پین‌ها و رمزهای عبور وارد شده توسط وی را حدس بزنند. تکنیک طراحی شده توسط کارشناسان، دقت شگفت‌انگیزی دارد: کارشناسان می‌توانند زمانی که صاحب گوشی در حال تایپ کردن کد مخفی است، زاویه و حرکت گوشی را زیر نظر بگیرند. متاسفانه گوشی‌های تلفن همراه، جلوی دسترسی وبگاه‌ها و برنامه‌ها به اطلاعات حسگرها را نمی‌گیرند.

در مقاله‌ای با عنوان «سرقت پین از طریق حسگرهای گوشی تلفن همراه: خطر واقعی در مقابل احساس کاربر» که کارشناسان منتشر کردند، آمده است: «اکثر گوشی‌های هوشمند، تبلت‌ها و دیگر ابزارهای پوشیدنی اکنون به حسگرهای فراوانی مجهز شده‌اند؛ از جی‌پی‌اس معروف، دوربین و میکروفون گرفته تا ابزارهایی مانند ژیروسکوپ، حسگر مجاورت، ان‌اف‌سی و حسگرهای چرخشی و شتاب‌سنج‌ها؛ اما از آنجا که برنامه‌های تلفن همراه و وبگاه‌ها برای دسترسی به این حسگرها نیازی به کسب اجازه از کاربر ندارند، برنامه‌های مخرب می‌توانند مخفیانه داده‌های حسگرها را شنود کرده و از این داده‌ها برای کشف طیف متنوعی از اطلاعات حساس شما از قبیل زمان‌بندی تماس‌ها، فعالیت‌های فیزیکی و حتی اقدامات لمسی، پین‌ها و رمزهای عبور استفاده کنند.»

محققان تا به حال توانسته‌اند از حدود ۲۵ حسگر گوشی‌های هوشمند، داده‌هایی را به دست آورند. آنها در یک ویدئو نحوه انجام این کار را به نمایش گذاشته‌اند و برای اثبات ادعای خود، کد مخربی را طراحی کردند تا به جمع‌آوری داده‌ها از گوشی‌های iOS بپردازد. کد مزبور هم در برنامه‌های تلفن همراه قابل جاگذاری است و هم می‌توان با بارگذاری آن بر روی یک وبگاه، کاربران را به سمت بازدید از این وبگاه سوق داد. فقط کافی است با ترفندی کاربران را به بازدید از وبگاه یا نصب برنامه ترغیب کنیم. بعد از آن، هر بار که کاربر هنگام بازدید از وبگاه یا استفاده از برنامه نصب شده، مشغول تایپ کردن در گوشی خود شود، برنامه مخرب که در پس‌زمینه گوشی در حال اجراست، به داده‌های حسگرها دسترسی پیدا کرده و اطلاعاتی را ضبط می‌کند که از آنها می‌توان برای حدس زدن پین یا رمز عبور بهره برد.

محققان موفق شدند پین‌های چهار رقمی را در نخستین تلاش، با دقت ۷۴ درصد و در پنجمین تلاش، با دقت ۱۰۰ درصد حدس بزنند. این نتایج، حاصل داده‌های ثبت شده از پنجاه وسیله بود و حاصل اطلاعات گردآوری شده از فقط حسگرهای حرکتی و جهت‌یابی بود؛ دسترسی به این حسگرها به هیچ مجوز خاصی نیاز ندارد. محققان یافته‌های خود را در اختیار مرورگرهای مطرح دنیا از قبیل گوگل قرار دادند و اپل، موزیلا و سافاری تا حدودی این مشکل را برطرف کرده‌اند. در هر حال، محققان در حال همکاری با شرکت‌های فعال در صنعت فناوری اطلاعات هستند تا راهکاری مناسب برای برطرف کردن قطعی این گونه حملات بیابند.