С помощью сенсоров смартфона злоумышленники могут определять вводимые пользователем символы.
JavaScript-файл на web-сайте или загруженное на мобильное устройство приложение могут получить доступ к данным различных датчиков, позволяющим вычислить пароль или PIN-код для его разблокировки.
Ученые Ньюкаслского университета (Великобритания) написали скрипт, способный получать данные с 25 датчиков. С помощью этих данных злоумышленник может определить вводимые владельцем устройства символы. Атака возможна, поскольку мобильные операционные системы не ограничивают доступ приложений (например, браузеров) к датчикам.
Созданный учеными JavaScript-файл PINlogger.js получает и регистрирует данные с сенсоров. Если пользователь разрешает браузеру или вредоносному приложению работать в фоновом режиме, пока работает с другой программой, PINlogger.js продолжает собирать данные с датчиков. Если в какой-то момент пользователь введет пароль, скрипт зафиксирует это и отправит данные на подконтрольный злоумышленникам сервер. Чем больше сенсоров в устройстве, тем больше данных получают преступники и тем легче им подобрать пароли.
По словам ученых, обученная ими искусственная нейронная сеть с первого раза вычислила вводимые пользователями 50 мобильных устройств четырехзначные пароли с точностью 74%. Данный показатель увеличился до 86% и 94%, когда сеть угадывала пароли со второй и третьей попытки соответственно.
Исследователи сообщили о своем открытии разработчикам браузеров, и некоторых из них ограничили доступ к датчикам. С выходом Firefox 46 в марте прошлого года доступ JavaScript-файлов к сенсорам устройств был заблокирован. В то же время проблема была исправлена в Safari, однако пользователи Chrome по-прежнему находятся под угрозой.
