South Korean models show Samsung Galaxy S8 smartphones during a showcase to mark the domestic launch of Samsung Electronics' latest flagship smartphone Galaxy S8 in Seoul on April 13, 2017. 
The S8 and S8+ will be available starting April 21, with a price of 935,000 won (828 USD) and 990,000 won (877 USD) in South Korea.  / AFP PHOTO / JUNG Yeon-Je
Mobil

Már akkor veszélyben vagyunk, ha csak hozzáérünk a mobilunkhoz

Dömös Zsuzsanna
Dömös Zsuzsanna

tech-újságíró. 2017. 04. 14. 11:51

Nemrég kiderült, hogy a mobiljainkba épített érzékelők elárulhatják a PIN-kódunkat, és hogy az ujjlenyomatolvasók is sebezhetőbbek, mint gondolnánk. A kutatók által felvázolt támadási formák hiába működnek elméletben, annyi energiát elvennének a hackerektől, hogy nem csoda, ha nem élnek velük.
Korábban a témában:

Okostelefonjaink manapság már kisebb számítógépekként működnek, de a felhasználói élmény fokozásával együtt jár azzal is, hogy a gyártók több, kifinomultabb érzékelőt pakolnak termékeikbe. És mint tudjuk: egy rendszer összetettségével együtt a biztonsági kockázat is nő.

Az elmúlt héten két ijesztő tanulmányt is olvashattunk arról, miként lehet az okostelefonokba épített szenzorokat kihasználva hozzájutni érzékeny felhasználói adatokhoz. Ugyan csak kevés (vagy semennyi) valódi támadás fűződik ezekhez a kiskapukhoz, de alkalmazásuk elméletben lehetséges – más kérdés, hogy ezek az összetett eljárások nem érnék meg a befektetett energiát az egyszeri hackerek számára.

Lelesi a kódunkat

Az egyik kutatás a telefonba épített mozgásérzékelőket (gyorsulásmérő, giroszkóp, magnetométer) démonizálja, amellyekkel akár a PIN-kódunkat is megszerezhetik a rosszakarók. Amikor egy felhasználó beüti képernyőjén az egyes számjegyeket, közben a készülék tájolása, és pozíciója is változik. A Newcastle University kutatói egy olyan összetett algoritmust írtak, amely ezen információk alapján sikeresen meg tudta határozni a négy számjegyből álló jelszót, pusztán a mozgásérzékelőből nyert adatokkal. Első próbálkozásra átlagosan 70 százalékban jártak sikerrel, de ötödik nekifutásra ez már 100 százalékra nőtt.

Nem, ez nem a Black Mirror következő része, hanem a már minket körülvevő jövő. Sok alkalmazás a felhasználó engedélye nélkül is hozzáfér a kamerához, a GPS-hez, vagy a mikrofonhoz, ezek pedig árulkodó adatokat szolgáltatnak arról, hogy éppen mikor ül, áll, utazik a felhasználó. Igaz, ezek önmagukban nem csinálnak nagy bajt: sokkal inkább a hétköznapokban használt, sérülékeny mobilos böngészőkben bújik meg az ördög, amelyeken keresztül a hackerek támadásba tudják lendíteni az információkat begyűjtő kódjaikat.

Using Smart Phone
Fotó: Thinkstock

Persze nem valószínű, hogy egy hétköznapi hacker a fentebb említett megoldást választaná a PIN-kódunk kiderítésére, hiszen a kutatóknak is egy összetett neurális hálózatot (az idegrendszer működésének és felépítésének mintájára kialakított számítási mechanizmust) kellett fejleszteniük arra, hogy az ellopott információkból eredményre vezető számításokat végezhessenek.

Az egyetem ezután felkereste a jelentősebb böngészőprogramok (beleértve a Mozilla Firefox) fejlesztőit, hogy közösen dolgozzanak a kihasználható hibák befoltozásán.  A felhasználóknak mindenesetre annyit tudnak tanácsolni, hogycseréljünk gyakrabban PIN-kódot, és mindig lépjünk ki azon alkalmazásokból, amelyeket épp nem használunk.

Az ujjlenyomat-olvasó sem szent

Ha ez elvette volna a kedvünket a PIN-kódoktól, és inkább az ujjlenyomatunkra bíznánk magunkat, akkor sem jobb a helyzet. Az egykor prémiumkategóriával párosított, kényelmes feloldást jelentő ujjlenyomat-olvasó sem hackerbiztos.

Az olyan fizetési rendszerek, mint az Apple Pay, vagy az Android Pay is az azonosítás ezen formáját használják. Viszont itt már nagyobb a tét, hiszen ugyanúgy megvásárolhatunk egy Aston Martint egyetlen érintéssel, akár egy pizzát.

A New York Egyetem és a Michigani Állami Egyetem szakemberei szerint az ujjlenyomat-olvasók kijátszhatók hamis, digitálisan generált ujjlenyomatokkal. A kutatók úgynevezett “MasterPrinteket”, olyan mesterséges lenyomatokat fejlesztettek, amelyek akár 65 százalékos egyezőséget is elérik a telefonokon beállított lenyomattal. Ehhez a legáltalánosabb, leggyakrabban megjelenő mintákat szedték össze.

Ujjlenyomatokat teljes egészében nagyon összetett feladat lenne hamisítani, de erre nincs is szükség, hiszen az olvasók olyan kicsik a készülékeken, hogy csak az ujjaink egy részét tudják felismernni. Amikor egy telefonon beállítjuk a lenyomatunkat, jellemzően 8-10 képet is bekér a rendszer különféle szögekből. Sokan pedig felváltva szkennelik be a hüvelyk-, vagy mutatóujjaikat.

Ha valaki próbát tesz a telefon feloldására, a szoftvernek elég egyetlen egyező részletet találnia a tárolt 8-10 kép valamelyikéből, utána már hitelesnek minősít minket. Ezért a rendszer még sebezhetőbb a hamis találatok számára. „Ez olyan, mintha lenne 30 jelszavad egyetlen fiókhoz, de a hackernek elég csak egyet megszereznie, hogy bejusson”- szemlélteti a kutatás egyik vezetője.

Ezt egyelőre még valódi telefonokon nem tesztelték, csak szimulációk során, ezért más kutatók szerint valódi telefonokon sokkal kevésbé lenne hatékony a megoldás.

Ez sem valószínű, hogy megérné egy egyszerű kiberbűnözőnek: a gyakorlatban úgy tudná kivitelezni, ha készítene egy olyan “varázskesztyűt”, amelynek ujjain különböző „masterprintek” vannak. A kutatók szerint így 40-50 százalék esélye lenne arra, hogy öt próbálkozásból feloldjon egy iPhone-t. Arról nem is beszélve, hogy a bevetéshez előtte el kéne lopnia a kinézett telefont, vagy legalábbis elterelni tulajdonosa figyelmét.

A kockázatot azért is nehéz felmérni reálisan, mert az óriáscégek nagy titokban tartják ujjlenyomat-olvasó-technológiáinak részleteit. A Google nem válaszolt az egyetem megkeresésére, az Apple szóvivője szerint pedig 50 ezerből egy esetben tudná átverni hamis ujjlenyomat a rendszert. A cégek is elismerik, hogy nem 100 százalékban biztos a rendszer, de még mindig biztonságosabb így zárolni a készülékünket, mintha egyáltalán nem tennénk meg.

vissza a címlapra

Kommentek

Legfrissebb videó mutasd mind

Gödöllő, 2014. március 1.
A Szent István Egyetem központi épülete. A műemlék épület Kertész K. Róbert és Sváb Gyula tervei alapján 1923-1929 között neobarokk stílusban épült. Az egyetem előtt áll Árpád-házi Kálmán herceg szobra, Róna József szobrászművész 1931-ben felállított alkotása.
MTVA/Bizományosi: Faludi Imre 
***************************
Kedves Felhasználó!
Az Ön által most kiválasztott fénykép nem képezi az MTI fotókiadásának, valamint az MTVA fotóarchívumának szerves részét. A kép tartalmáért és a szövegért a fotó készítője vállalja a felelősséget.
Nézd meg a legfrissebb cikkeinket a címlapon!
24-logo

Engedélyezi, hogy a 24.hu értesítéseket
küldjön Önnek a kiemelt hírekről?
Az értesítések bármikor kikapcsolhatók
a böngésző beállításaiban.