Смарт-часы и фитнес-трекеры могут использоваться для перехвата PIN-кодов от банковских карт

Как выяснилось, встроенные в носимую элеткронику датчики и сенсоры можно использовать для считывания PIN-кодов, которые пользователи вводят в банковские терминалы и отслеживания текста, набираемого на любой клавиатуре. Что хуже всего — злоумышленнику даже не придётся взламывать ваше устройство, ему достаточно лишь установить рядом с вам специальный сканер, который будет отслеживать движение рук.

Команда, состоящая из сотрудников Технологического института Стивенса и Бингемтонского университета (США), провела эксперимент. Исследователи создали сканер, который фиксирует электромагнитное излучение от датчиков, встроенных в смарт-часы и фитнес браслеты, и разработали алгоритм, позволяющий определить, на какие кнопки нажимает пользователь. Для составления алгоритма, определяющего 5000 ключевых движений потребовалось всего 20 пользователей и три носимых гаджета (две модели смарт-часов и фитнес-браслет с девятиосным акселерометром).

Точность распознавания достаточно высокая — 80% с первой попытки и более 90%, если пользователь вводит одни и те же данные во второй раз. Чем больше сенсоров установлено в устройство, тем с большей точностью «хакерский» прибор определяет, на какие кнопки нажал пользователь. Очевидно, что с этой точки зрения менее продвинутые гаджеты оказываются более безопасными. Эксперимент проводился с клавиатурами в банковских терминалах и QWERTY-клавиатурами.

Снизить ошибки при распознавании набора получилось благодаря определению финальных точек в действии: когда устройство перстаёт двигаться по одной оси и переходит по другой — в «понимании» алгоритма в этот момент пользователь определился с тем, какая клавишу ему нужна, и нажимает на неё.

Исследователи так описывают результаты своего эксперимента:

https://www.semanticscholar.org/paper/Friend-or-Foe-Your-Wearable-Devices-Reveal-Your-Wang-Guo/e867c843844a46d35434f01855d10d9738757037

Это исследование показывает, что использование носимой электроника может позволить злоумышленникам с высокой точность отслеживать движение рук пользователя и перехватить секретные данные. В частности, наша система показывает, что для этих целей можно использовать информацию от акселерометров, гироскопов и магнитометров, причём положение руки пользователя не влияет на точность измерений. Наш алгоритм оказался способен связывать движение рук пользователя с данными, которые он вводит на клавиатуре.

Для перехвата этих данных злоумышленнику не обязательно находиться рядом с жертвой — он может разместить миниатюрный сканер непосредственно у клавиатуры на банковском терминале, а захваченные данные могут передаваться на смартфон «хакера» через Bluetoooth.

Защищить себя от перехвата данных с помощью описанного выше метода довольно просто — нужно вводить PIN-коды не той рукой, на которую надеты смарт-часы или фитнес-трекер, а другой. Избавить носимые гаджеты от этой уязвимости будет довольно сложно — производителям придётся предусмотреть шифрование данных, которые передают встроенные датчики, а это создаст дополнительную нагрузку на процессор и аккумулятор.

Добавить комментарий

Ваш e-mail не будет опубликован.