با ما به‌روز باشید!
info@nsec.ir
(+98)-313-3915336

به دست آوردن کلمات عبور با استفاده از اطلاعات سنسور‌های موبایل

خلاصه: امروزه تلفن‌های همراه از سنسور‌های فراوانی استفاده می‌کنند. استفاده زیاد از این سنسور‌ها در برنامه‌های مختلف باعث شده که سیستم‌عامل برای دادن اجازه دسترسی به آن‌ها از کاربر اجازه دریافت نکند. همچنین وب‌سایت‌ها می‌توانند به اطلاعات بسیاری از سنسور‌ها دسترسی داشته باشند. گروهی از پژوهشگران نشان داده‌اند که با استفاده از اطلاعات این سنسور‌ها، امکان حدس کلمات عبور با دقت بالایی وجود دارد.

امروزه با هوشمند‌تر شدن تلفن‌های همراه تعداد سنسور‌هایی که در این دستگاه‌ها مورد استفاده قرار می‌گیرد افزایش یافته است. سنسور‌های جی‌پی‌اس، دوربین، میکروفون، شتاب‌سنج، قطب‌نما، نزدیکی، ژیروسکوپ، گام‌شمار و اثر انگشت تعدادی از این سنسور‌ها هستند. یک تیم ایرانی در دانشگاه نیوکاسل انگلیس با انتشار مقاله‌ای مدعی شده‌اند که هکر‌ها با استفاده از اطلاعات این سنسور‌ها می‌توانند کلمات عبور و کد‌های پین را با دقتی مناسب حدس بزنند. این گروه در یک آزمایش تنها با استفاده از اطلاعات زاویه و حرکت تلفن همراه در هنگام تایپ کلمه عبور، توانسته‌اند با دقت بسیار خوبی کلمات عبور را حدس بزنند.

خطر اصلی مساله در این است که سایت‌ها و برنامه‌ها بدون نیاز به گرفتن اجازه از کاربر به اطلاعات بسیاری از سنسور‌ها دسترسی دارند و بنابراین هکر‌ها می‌توانند بدون اطلاع کاربر این اطلاعات را دریافت کرده و از آن‌ها در راستای اهداف خرابکارانه خود استفاده کنند.

هنگام نصب برنامه‌های جدید یا استفاده از وب‌سایت‌ها، تلفن همراه برای استفاده از سنسور‌هایی همچون جی‌پی‌اس، دوربین و میکروفون اجازه می‌گیرد؛ ولی سنسور‌های دیگر مانند شتاب‌سنج، قطب‌نما و زیروسکوپ بدون اجازه کاربر می‌توانند مورد استفاده قرار گیرند. این مساله به دلیل استفاده زیاد برنامه‌های کاربردی و بازی‌ها از این سنسور‌ها و تصور اطلاعات غیر حساس آن‌ها است. دکتر مهرنژاد، سرپرست این تیم تحقیقاتی معتقد است برنامه‌ها و وب‌سایت‌های خرابکار با دریافت مداوم اطلاعات این سنسور‌ها، می‌توانند اطلاعات حساسی در مورد شخص همچون زمان تماس‌ها، فعالیت‌های فیزیکی فرد و حتی کلمات عبور و کد‌های پین وارد شده را به دست آورند.

این تیم تحقیقاتی برای اثبات ادعای خود با ایجاد یک حمله ساختگی، اطلاعات 25 سنسور یک تلفن هوشمند با سیستم‌عامل iOS را با استفاده از یک کد مخرب جاوا‌اسکریپت که امکان دسترسی به اطلاع سنسور‌ها و ضبط اطلاعات آن‌ها را دارد جمع‌آوری نموده‌اند. این کد مخرب می‌تواند درون برنامه‌های کاربردی یا وب‌سایت‌های مخرب مورد استفاده قرار گیرد. پس هکر تنها چیزی که نیاز دارد فریب کاربر به نصب برنامه مورد نظر خود یا بازدید از یک سایت است.

گام بعدی این تیم تحقیقاتی حدس کلمات عبور وارد شده توسط کاربر با استفاده از اطلاعات سنسور‌ها بود. نتیجه این قسمت شگفت انگیز بوده است. تنها با اطلاعات دو سنسور حرکت و زاویه، در تلاش اول با دقت 74%  کلمه عبور درست تشخیص داده شده و این دقت در تلاش دوم به 100% صحت می‌رسد. این دقت بالا اهمیت اطلاعت این سنسور‌ها را آشکار می‌کند.

این تیم همچنین نشان داده‌اند که با اطلاعات جمع‌آوری شده از این سنسور‌ها، امکان مشخص کردن اطلاعاتی از قبیل محل کلیک کردن یا اسکرول کردن صفحات و همچنین کلیک کردن و تایپ کردن متن را به دست آورند.

این تیم تحقیقاتی معتقد است کار این گروه در آگاهی رسانی در مورد اطلاعات حساس این سنسور‌ها تا زمانی که برنامه‌ها و سایت‌ها از این اطلاعات بدون محدودیت استفاده می‌کنند نتیجه بخش نبوده است. از این رو این گروه در تلاش برای رایزنی با شرکت‌هایی همچون گوگل و اپل و همچنین تیم‌های مرورگرهایی مانند موزیلا و سافاری هستند تا راهکاری برای حفظ اطلاعات این سنسور‌ها به دست آورند.