Okostelefonjaink manapság már kisebb számítógépekként működnek, de a felhasználói élmény fokozásával együtt jár azzal is, hogy a gyártók több, kifinomultabb érzékelőt pakolnak termékeikbe. És mint tudjuk: egy rendszer összetettségével együtt a biztonsági kockázat is nő.
Az elmúlt héten két ijesztő tanulmányt is olvashattunk arról, miként lehet az okostelefonokba épített szenzorokat kihasználva hozzájutni érzékeny felhasználói adatokhoz. Ugyan csak kevés (vagy semennyi) valódi támadás fűződik ezekhez a kiskapukhoz, de alkalmazásuk elméletben lehetséges – más kérdés, hogy ezek az összetett eljárások nem érnék meg a befektetett energiát az egyszeri hackerek számára.
Lelesi a kódunkat
Az egyik kutatás a telefonba épített mozgásérzékelőket (gyorsulásmérő, giroszkóp, magnetométer) démonizálja, amellyekkel akár a PIN-kódunkat is megszerezhetik a rosszakarók. Amikor egy felhasználó beüti képernyőjén az egyes számjegyeket, közben a készülék tájolása, és pozíciója is változik. A Newcastle University kutatói egy olyan összetett algoritmust írtak, amely ezen információk alapján Első próbálkozásra átlagosan 70 százalékban jártak sikerrel, de ötödik nekifutásra ez már 100 százalékra nőtt.
Nem, ez nem a Black Mirror következő része, hanem a már minket körülvevő jövő. Sok alkalmazás a felhasználó engedélye nélkül is hozzáfér a kamerához, a GPS-hez, vagy a mikrofonhoz, ezek pedig árulkodó adatokat szolgáltatnak arról, hogy éppen mikor ül, áll, utazik a felhasználó. Igaz, ezek önmagukban nem csinálnak nagy bajt: sokkal inkább a hétköznapokban használt, sérülékeny mobilos böngészőkben bújik meg az ördög, amelyeken keresztül a hackerek támadásba tudják lendíteni az információkat begyűjtő kódjaikat.
Persze nem valószínű, hogy egy hétköznapi hacker a fentebb említett megoldást választaná a PIN-kódunk kiderítésére, hiszen a kutatóknak is egy összetett neurális hálózatot (az idegrendszer működésének és felépítésének mintájára kialakított számítási mechanizmust) kellett fejleszteniük arra, hogy az ellopott információkból eredményre vezető számításokat végezhessenek.
Az egyetem ezután felkereste a jelentősebb böngészőprogramok (beleértve a Mozilla Firefox) fejlesztőit, hogy közösen dolgozzanak a kihasználható hibák befoltozásán. A felhasználóknak mindenesetre annyit tudnak tanácsolni, hogy
Az ujjlenyomat-olvasó sem szent
Ha ez elvette volna a kedvünket a PIN-kódoktól, és inkább az ujjlenyomatunkra bíznánk magunkat, akkor sem jobb a helyzet. Az egykor prémiumkategóriával párosított, kényelmes feloldást jelentő ujjlenyomat-olvasó sem hackerbiztos.
Az olyan fizetési rendszerek, mint az Apple Pay, vagy az Android Pay is az azonosítás ezen formáját használják. Viszont itt már nagyobb a tét, hiszen ugyanúgy megvásárolhatunk egy Aston Martint egyetlen érintéssel, akár egy pizzát.
A New York Egyetem és a Michigani Állami Egyetem szakemberei szerint az ujjlenyomat-olvasók kijátszhatók hamis, digitálisan generált ujjlenyomatokkal. A kutatók úgynevezett “MasterPrinteket”, olyan mesterséges lenyomatokat fejlesztettek, amelyek akár 65 százalékos egyezőséget is elérik a telefonokon beállított lenyomattal. Ehhez a legáltalánosabb, leggyakrabban megjelenő mintákat szedték össze.
Ujjlenyomatokat teljes egészében nagyon összetett feladat lenne hamisítani, de erre nincs is szükség, hiszen az olvasók olyan kicsik a készülékeken, hogy csak az ujjaink egy részét tudják felismernni. Amikor egy telefonon beállítjuk a lenyomatunkat, jellemzően 8-10 képet is bekér a rendszer különféle szögekből. Sokan pedig felváltva szkennelik be a hüvelyk-, vagy mutatóujjaikat.
Ha valaki próbát tesz a telefon feloldására, a szoftvernek elég egyetlen egyező részletet találnia a tárolt 8-10 kép valamelyikéből, utána már hitelesnek minősít minket. Ezért a rendszer még sebezhetőbb a hamis találatok számára. „Ez olyan, mintha lenne 30 jelszavad egyetlen fiókhoz, de a hackernek elég csak egyet megszereznie, hogy bejusson”- szemlélteti a kutatás egyik vezetője.
Ezt egyelőre még valódi telefonokon nem tesztelték, csak szimulációk során, ezért más kutatók szerint
Ez sem valószínű, hogy megérné egy egyszerű kiberbűnözőnek: a gyakorlatban úgy tudná kivitelezni, ha készítene egy olyan “varázskesztyűt”, amelynek ujjain különböző „masterprintek” vannak. A kutatók szerint így 40-50 százalék esélye lenne arra, hogy öt próbálkozásból feloldjon egy iPhone-t. Arról nem is beszélve, hogy a bevetéshez előtte el kéne lopnia a kinézett telefont, vagy legalábbis elterelni tulajdonosa figyelmét.
A kockázatot azért is nehéz felmérni reálisan, mert az óriáscégek nagy titokban tartják ujjlenyomat-olvasó-technológiáinak részleteit. A Google nem válaszolt az egyetem megkeresésére, az Apple szóvivője szerint pedig 50 ezerből egy esetben tudná átverni hamis ujjlenyomat a rendszert. A cégek is elismerik, hogy nem 100 százalékban biztos a rendszer,