Entwickelt ein Skript zum Stehlen eines PIN-Codes über einen Smartphone-Browser


    Verschiedene Eingabeverfahren beeinflussen die Neigungswinkel, aber das neuronale Netz erkennt die PIN auf jedem Fall nach dem Sammeln Skriptdaten

    bekannt ist, in jedem Smartphone, eine Mehrzahl von Sensoren - GPS, Licht, Orientierungssensoren, Bewegung und noch etwa 20 Sensoren - sie kontinuierlich Daten liefern , damit das Smartphone mit der umgebenden physischen Welt interagieren kann. Entwickler haben verschiedene Möglichkeiten, auf Informationen von diesen Sensoren zuzugreifen, einschließlich über einen mobilen Browser gemäß der offiziellen Javascript-API .

    Diese Methode eröffnet ein weites Feld an Möglichkeiten für Remote-Hacking. Beispielsweise entwickelten Spezialisten der School of Informatics der University of Newcastle das Skript PINlogger.js, mit dem der Browser bestimmen kann, welche Tasten der Benutzer auf der Bildschirmtastatur drückt. Das Skript liest bei jeder Betätigung Informationen von den Neigungssensoren des mobilen Geräts. Überraschenderweise sammelt das im Browser gestartete Skript in einigen Browsern (Safari) selbst dann Daten, wenn der Bildschirm gesperrt ist. Ähnlich funktioniert es, wenn Sie im Online-Banking auf der nebenstehenden Registerkarte ein Kennwort eingeben, ohne die vorherige Registerkarte zu schließen.

    Diese Methode eignet sich zum Diebstahl eines PIN-Codes sowohl über eine schädliche Website mit einem Skript als auch von jeder mobilen Anwendung, die Zugriff auf Informationen von Sensoren hat. Die Erkennungsgenauigkeit von PIN-Nummern ist recht hoch. Eine vierstellige PIN wird beim ersten Versuch mit einer Wahrscheinlichkeit von 70% erkannt, mit dem zweiten - 86%, mit dem dritten - 94% und ab dem fünften Versuch mit einer Wahrscheinlichkeit von 98% für verschiedene Benutzer oder 99% für einen Benutzer.


    Angriffsvektoren von benachbarten Registerkarten (b) funktionieren nur in Chrome und Dolphin unter iOS, und der Angriff von Frame (a) funktioniert in allen gängigen Browsern, einschließlich Safari, Chrome, Firefox, Opera und Dolphin

    Zur praktischen Demonstration des Angriffs wurde eine spezielle Schnittstelle zur Eingabe von vierstelligen PIN-Codes entwickelt. Der Client-Teil schickte Orientierungs- und Bewegungssensoren an den Server. Der Serverteil wurde auf Node.js implementiert, und die Sensorwerte wurden in der MobgoLab-Datenbank gespeichert.

    In dieser Demonstration war es den Forschern leicht, Tastatureingaben mit dem Ereignis onkeydown zu identifizieren . Die Autoren der wissenschaftlichen Arbeit weisen darauf hin, dass ein ähnlicher Ansatz in anderen Programmen zum Zusammenstellen von PIN-Codes für Informationen von Sensoren verwendet wird, beispielsweise TouchLogger und TapLogger. Wenn Klicks auf einem gesperrten Bildschirm erkannt werden müssen, ist möglicherweise ein komplexeres Szenario der Segmentierung von Sensordaten erforderlich, um die erforderlichen Datenfragmente zu isolieren. Dies kann zum Beispiel durch Messen der Spitzenamplituden eines Signals und Verwenden zusätzlicher Sensoren erfolgen, wie in früheren wissenschaftlichen Veröffentlichungen gezeigt . Der Code für die Dateneingabe wird auf GitHub veröffentlicht .

    Die Datenbank sammelt zum Zeitpunkt des Klickens Informationen über Klicks und Sensorwerte. Jeder der zehn Freiwilligen gab fünfmal 50 vierstellige PIN-Codes ein (insgesamt 2488 korrekt eingegebene PIN-Codes). Dieser Datensatz wurde dann zum Extrahieren von Merkmalen und zum Trainieren des neuronalen Netzwerks verwendet (70% der Daten wurden für das Training, 15% für Tests und 15% für Tests verwendet).

    Gemessen an den Ergebnissen der Vergleichstests erkennt PINlogger.js PIN-Codes anhand der Informationen des Bewegungssensors viel besser als bei ähnlichen Entwicklungen. Darüber hinaus ist dies das erste System, das PIN-Codes über einen Browser und nicht über eine auf einem Smartphone installierte Anwendung stiehlt.



    Die Forscher stellen fest, dass die meisten Benutzer die Gefahr des Verlusts personenbezogener Daten nicht erkennen, indem sie Daten von Sensoren entfernen. Eine Benutzerumfrage ergab, dass die meisten von ihnen eine Bedrohung im GPS oder in der Kamera sehen, und nicht darin, dass sie eine echte Bedrohung darstellt - in der internen Bewegung, in der Neigung und anderen Sensoren. Die Zahl 25 ist kein Zufall: Es waren genauso viele Sensoren, die Forscher in einem Standard-Smartphone gezählt haben. Das folgende Diagramm zeigt die Umfrageergebnisse - bei welchen der 25 Sensoren die Benutzer die größte Bedrohung sehen.



    Benutzer sind sich der Bedrohung nicht nur nicht bewusst. Viele wissen nicht einmal, welche Informationen die meisten der 25 Sensoren erfassen. Die Leute haben nicht einmal von einigen Sensoren gehört.



    Das Problem ist, dass diese Informationen auf Betriebssystemebene nicht geschützt sind. Es ist sowohl für Anwendungen als auch für Websites über Browser leicht zugänglich - ohne Erlaubnis. Nur wenige Sensoren benötigen eine explizite Erlaubnis, um Informationen bereitzustellen, einschließlich Kamera und GPS. Der Rest gibt Informationen vollständig offen.

    Mit diesen offenen Daten können Sie nicht nur PIN-Codes und Passwörter sammeln, sondern auch den Benutzer verfolgen. Jeder Standort kann bestimmen, wann eine Person einen Anruf entgegennimmt und auflegt,



    wenn eine Person sitzt, geht oder läuft.



    Alle diese Informationen stehen jeder Site und jeder Anwendung ohne Erlaubnis zur Verfügung. Sites erhalten es mit Standard-JavaScript.

    Sicherheitsexperten und die größten Akteure der Mobilfunkbranche sind sich dieser Sicherheitsfrage bewusst, haben sich jedoch bisher noch nicht auf eine Lösung geeinigt.

    Die wissenschaftliche Arbeit veröffentlicht 7. April 2017 in der Zeitschrift International, Journal of Information Part Sicherheit (doi: 10.1007 / s10207-017-0369-x), in der Public Domain.

    Jetzt auch beliebt: