Domov Varnostna ura Rsac: vas kdo gleda vsakič, ko se dotaknete pametnega telefona?

Rsac: vas kdo gleda vsakič, ko se dotaknete pametnega telefona?

Video: Смешной Анекдот про ОГРОМНУЮ Ж...ПУ! Смех! Юмор! Позитив! (November 2024)

Video: Смешной Анекдот про ОГРОМНУЮ Ж...ПУ! Смех! Юмор! Позитив! (November 2024)
Anonim

Keyloggerji so grdi majhni programi, ki sedijo na vašem računalniku in pridno beležijo vsak posamezen pritisk na tipko. Če želite ukrasti neko bančno geslo, so keyloggerji odlično orodje. Predstavnik trga RSAC 2014 Nathan McCauley in višji svetovalec za varnost Trustwavea Neal Hindocha sta pokazala, da na pametnem telefonu z zaslonom na dotik to isto stvar sploh ni težko.

Iskanje prstov

Najboljši način za prestrezanje informacij o dotikih v iOS-u je prek "metode swizzling." McCauley je dejal, da je to "kot napad človeka v sredini za klice metode znotraj operacijskega sistema." Če veste, da obstaja posebna metoda, ki se bo imenovala, je razložil McCauley, lahko vstavite knjižnico, ki dogodek prestreže in zabeleži, preden dogodek prenesete kot običajno. Praktični rezultat je, da lahko zgrabite vse vrste informacij - tudi posnetke zaslona - ne da bi to vplivalo na delovanje telefona.

Običajno bi to zahtevalo, da se iPhone najprej zlomi. Vendar so predstavniki priznali raziskave FireEye, objavljene v začetku tedna, ki kažejo, da to ni nujno. Dokler Apple ne bo posodobil iOS-a, bi ga uporabniki lahko nadzirali, tudi če njihova naprava ni brezhibna.

Na zakoreninjenih napravah Android je še lažje. Hindocha je z orodjem "getevent", ki je prisoten na vseh napravah Android, zapisal koordinate X in Y vsakega dotika. Uporabljal bi lahko tudi getevent za snemanje gibov, ko pritiska na gumbe strojne opreme.

Za androide, ki niso zakoreninjeni, kar je večina od njih, lahko še vedno uporabljate getevent. Če želite to narediti, mora imeti telefon omogočeno odpravljanje napak USB in povezan z računalnikom. Z uporabo naprave za odpravljanje napak Android je Hindocha uspel pridobiti povišane pravice, potrebne za izvajanje getevent.

Seveda naprave Android privzeto niso v načinu za odpravljanje napak (in toplo priporočamo, da ga nikoli ne aktivirate). Tudi fizični dostop do naprave močno omeji učinkovitost tega napada. Vendar je Hindocha dokazal, da je teoretično mogoče uporabiti kombinacijo zlonamernih živih ozadij, ki za ogled podatkov o dotikih ne potrebujejo posebnih dovoljenj, in prekrivati ​​aplikacije za prestrezanje informacij o dotikih na napravah, ki niso zakoreninjene.

Dobil si dotik

Ko so ugotovili, kako pridobiti podatke na dotik, so morali raziskovalci ugotoviti, kaj storiti z njimi. Sprva so domnevali, da bi bilo treba zajeti posnetke zaslona, ​​da bi podatke na dotik preslikali na nekaj koristnega. Toda Hindocha je dejal, da temu ni tako. "Ko smo napredovali, sem ugotovil, da lahko precej enostavno ugotovim, kaj se dogaja, samo z ogledom pik, " je dejal.

Trik je bil v iskanju posebnih namigov, ki bi nakazovali, kakšen vložek se dogaja. Povlecite in tapkajte lahko še posebej Angry Birds, štirje dotiki in nato petina v spodnjem desnem kotu zaslona pa verjetno PIN. Hindocha je dejal, da so lahko vedeli, kdaj pišejo e-poštna sporočila ali besedilna sporočila, ker je bilo območje, kjer prebiva ključ nazaj, večkrat udaril. "Ljudje delajo veliko napak, ko pišejo elektronsko pošto, " je pojasnil.

Ostati varen

Raziskovalci so ugotovili, da je to le ena metoda zajemanja tistega, kar je bilo vtipkano v pametni telefon. Zlonamerne tipkovnice lahko na primer prav tako preprosto ukradejo vaša bančna gesla.

Uporabniki iOS-a, ki so zaskrbljeni zaradi dotičnega branja, bi se morali izogibati zalomu svojih naprav, čeprav raziskave FireEye kažejo, da to ni dovolj. Na srečo, je dejal McCauley, nihanje metod je dokaj enostavno, da jih odkrijejo pametni upravljavci naprav.

Pri Androidu je vprašanje nekoliko bolj bogate. Spet se vam koreninska naprava odpre za napad. Če omogočite način odpravljanja napak, napadalci v napravo vstopijo. Običajno jih ni na zalogi telefonov Android, čeprav je McCauley predstavljal pomembno izjemo. Povedal je, da so v okviru svojih raziskav odkrili, da so bili telefoni, ki so bili odposlani od neimenovanega proizvajalca, konfigurirani tako, da lahko napadalcem omogoči dostop do getevent.

Čeprav ima njihovo raziskovanje praktično uporabo, je še vedno v veliki meri teoretično. Naši pipe in potegi so vsaj za zdaj varni.

Rsac: vas kdo gleda vsakič, ko se dotaknete pametnega telefona?