נחשפה פרצת אבטחה חדשה לסיסמאות סמארטפונים

נחשפה פרצת אבטחה חדשה לסיסמאות סמארטפונים

smartphone password security

This post is also available in: enEnglish (אנגלית)

מחקר חדש מהאוניברסיטה הטכנולוגית נאניאנג שבסינגפור (NTU) חשף פרצת אבטחה חדשה בה יכולים האקרים להשתמש על מנת לנחש את קוד ה-PIN של הטלפון שלכם, על ידי שימוש בחיישנים הפיזיים של הטלפון.

חיישנים המותקנים בסמארטפון, כגון מד תאוצה, ג'ירוסקופ וחיישן קרבה מהווים תורפת אבטחה פוטנציאלית, לפי אתר electronics360.globalspec.com.

הטכניקה החדשה משלבת אינפורמציה הנאספת על ידי שישה חיישני סמארטפון שונים בשימוש ביכולות למידה חישובית ואלגוריתמים של למידה עמוקה. החוקרים מ-NTU הצליחו לנחש נכונה את הסיסמה של 99.5% מהטלפונים מבוססי האנדרואיד בתוך שלושה ניסיונות, כשניסו לפתוח טלפונים עם אחד מ-50 קודי ה-PIN הנפוצים ביותר.

לפני המחקר הנ"ל, סיכוי ההצלחה הטובים ביותר של פריצת טלפון ע"י הכנסת אחד מ-50 הקודים הנפוצים ביותר היו 74%, אך בעזרת הטכניקה של NTU ניתן יהיה לנחש את כל 10,000 הקודים האפשריים ב-PIN של ארבע ספרות.

את צוות החוקרים מוביל דר' שיבם באסין, מדען חוקר בכיר ממעבדות טמסק ב-NTU. החוקרים השתמשו בחיישני הסמארטפונים על מנת לדמות איזה מספר נלחץ על ידי הבעלים, בהתבסס על הדרך בה הטלפון הוטה על צידו וכמה אור נחסם על ידי האגודל או האצבעות.

הצוות לקח טלפונים מבוססי אנדרואיד והתקין בהם אפליקציה ייעודית לאיסוף נתונים משישה חיישנים: מד תאוצה, ג'ירוסקופ, מגנטומטר, חיישן קרבה, מד לחץ וחיישן אור סביבתי.

"כשאתה מחזיק את הטלפון שלך ומכניס את הסיסמה, הדרך בה הטלפון זז כשאתה לוחץ על הספרה אחת, חמש או תשע היא שונה. כמו כן, לחיצה על הספרה אחת עם האגודל תחסום יותר אור מאשר לחיצה על הספרה תשע", מסביר דוקטור באסין, שעבד 10 חודשים עם עמיתיו, דר' ברנרד ג'ונק ודיויד ברנד על הפרויקט.

אלגוריתם הסיווג אומן באמצעות מידע שנאסף משלושה אנשים, שכל אחד מהם הכניס 70 סטים של סיסמת PIN בעלת ארבע ספרות באופן רנדומלי לטלפון. באותו הזמן, נאסף מידע אודות תגובת החיישנים הרלוונטיים.

בעזרת למידה עמוקה, אלגוריתם הסיווג יכול היה לתת רמת חשיבות שונה לכל אחד מהחיישנים, תלוי עד כמה היה רגיש לשינוים במספרים שנלחצו. תהליך זה עוזר להעלים גורמים שהאלגוריתם מאמין שהם פחות חשובים, ובכך להעלות את אחוזי ההצלחה בניחוש ה-PIN הנכון.

למרות שכל אדם מכניס את הקוד שלו לטלפון בצורה מעט שונה, החוקרים מראים כי ככל שמוכנס יותר מידע לאלגוריתם, כך משתפרים סיכויי הצלחה שלו.

בעוד תוכנה זדונית כנראה לא תוכל לנחש את סיסמת ה-PIN של הטלפון מיד אחרי התקנתה, בעזרת למידה חישובית תוכל התוכנה לאסוף מידע מאלפי משתמשים לאורך הזמן ולהבין את דפוס הכנסת הסיסמה שלהם, ולאחר זמן מה לשגר התקפה על הטלפונים כשאחוזי ההצלחה יהיו גבוהים בהרבה.   

פרופסור גן-צ'י ליפ, מנהל מעבדות טמסק ב-NTU, אמר כי המחקר מראה כיצד מכשירים בעלי אבטחה חזקה למראה יכולים להיות מותקפים על ידי שימוש בערוץ צידי, כאשר מידע מחיישנים יכול להיות מופנה לריגול אחרי משתמשים בשימוש באפליקציות זדוניות, וכך לתת גישה ל-PIN, מידע על סיסמאות ועוד.

"יחד עם הפוטנציאל לדליפת סיסמאות, אנו מודאגים מכך שגישה למידע מחיישני הטלפון תוכל לחשוף מידע רב על התנהגות המשתמש. יש לכך משמעויות אבטחת פרטיות רבות, שמשתמשים וחברות כאחד צריכים לשים לב אליהן", אמר ליפ.

דר' באסין מאמין כי יהיה זה מומלץ למערכות הפעלה סלולריות להגביל את גישת ששת החיישנים המדוברים בעתיד, כך שכל משתמש יוכל לבחור באופן פעיל מי מהאפליקציות שברשותו תקבל הרשאה להפעיל את החיישנים.

על מנת לגרום לטלפון שלכם להישאר בטוח, דר' באסין אומר כי המשתמשים צריכים להשתמש בקוד גישה של יותר מארבע ספרות יחד עם אמצעי אימות נוספים כגון סיסמאות חד-פעמיות, אימות על ידי שני גורמים ושימוש בטביעת אצבע או זיהוי פנים.


למידע נוסף


הרשמה לניוזלטר

SIMILAR ARTICLES

image provided by pixabay

image provided by pixabay

IoT chip. image by pixabay

Security. image by pixabay

photo illust. airport

patrol corvette

cybersecurity