 Студент Тони Белтрамелли из Университета Копенгагена показал, что программное обеспечение, работающее в умных часах, может быть использован для записи паролей пользователя и PIN-кодов. Он сумел осуществить это с помощью датчиков движения в умных часах и анализа образцов данных от датчиков при нажатии клавиатуры для ввода PIN-кода.
Хотя предполагается, что приложение, осуществляющее шпионаж, будет установлен без ведома пользователя, вполне возможно, что, казалось бы, законное приложение, установленное из магазина приложений может проводить шпионаж. Это исходит из того, что доступ к датчикам не рассматривает как риск для безопасности или конфиденциальности. Данные от датчиков движения используется для управления аспектами пользовательского интерфейса, и поэтому было бы неразумно просить разрешение пользователя для доступа к данным.
Умные часы, подобные Apple Watch, имеют два датчика, которые измеряют движение - гироскоп и акселерометр. Гироскопы измеряют скорость и угол поворота часов вдоль различных осей - т.е. того, насколько быстро устройство вращается в любом из трех направлений. Акселерометры измеряют ускорение устройства вдоль тех же осей. Используя эти датчики вместе, приложение на часах может обнаружить конкретные движения, как например, подъем часов, чтобы посмотреть на экран, что в большинстве умных часов вызовет включение экрана.
Apple сама использует данные из этих датчиков для обнаружения того, когда владельцы сидят, стоят или двигаются, но при этом останавливаются в предоставлении каких-либо других деталей.
Белтрамелли взял данные из обоих датчиков на умных часах, а затем применил тип машинного обучения, чтобы научить его программное обеспечение обнаружению нажатия определенных кнопок на цифровой клавиатуре. Это потребовало «подготовки» программного обеспечения в процессе обучения, чтобы распознавать определенные движения носителя. Тем не менее, даже без обучения, программное обеспечение было достаточно точным в определении нажатии кнопки.
Это не первый случай, когда кто-то использовал датчики движения в мобильном устройстве, чтобы выполнять кейлоггинг. Другие исследователи также делали подобные вещи на умных часах и мобильных телефонах.
В случае мобильных телефонов, датчики могут быть использованы, чтобы забрать вибрации с клавиатуры, когда телефон находится на одной поверхности рядом. Датчики движения также может быть использован для захвата того, что пользователь вводит на экран мобильного телефона.
Есть ряд ограничений, которые делают этот тип подхода непрактичным для конкретных задач взлома. Для начала, он работает только в том случае, если человек использует руку, на которой он носит часы. Это не может случиться так часто, если люди будут склонны использовать свою доминирующую руку, чтобы ввести номера контактов, и носить часы на их недоминантном запястье.
Другая проблема состоит в том, что одна вещь – распознавание медленных преднамеренных движений, которые используются Белтрамелли в своем исследовании. Другое дело – когда речь идет об попытке расшифровать более шумно, но, вероятно, более распространенные способы, в которых люди вводят свой пин-код на клавиатуре. Существует также более очевидная проблема, что пин-код не очень полезен без информации, относящейся к тому, для чего он используется. В случае банковской карты, пин-код также становится непригодным без реальной физической карты.
Что еще, больше беспокоит, однако, так это сложность, с которой связаны программное обеспечение и датчики в часах и мобильных телефонах, на основе которых можно сделать вывод, чем их владельцы занимаются в любой момент времени. Данные датчика движения, в сочетании с данными из других датчиков, которые измеряют частоту сердечных сокращений могут быть использованы для обнаружения ряд очень конкретных мероприятий без ведома пользователя.
|
