Τρίτη 24 Απριλίου 2012

Νέος ιός για Android χρησιμοποεί τις κινήσεις του χρήστη για να υποκλέψει δεδομένα.


  Πρόσφατα ανακαλύφθηκε μία επίθεση σε smarthphones, που καταγράφει αριθμούς τηλεφώνου, αναγνωριστικά κοινωνικής ασφάλισης και προσωπικούς αριθμούς ταυτοποίησης, παρακολουθώντας τους αισθητήρες κίνησης που είναι ενσωματωμένοι στις συσκευές αυτές.

  Η επίθεση αυτή με το όνομα TapLogger, προορίζεται για κινητά που "τρέχουν" Android λογισμικό της Google και εμφανίζεται ως ένα αθώο παιχνίδι στο οποίο ο χρήστης πρέπει να εντοπίσει τις πανομοιότυπες από μια συλλογή με αρκετά παρόμοιες εικόνες . Στο παρασκήνιο όμως, οι μολυσμένες από τον background ιό ενδείξεις της οθόνης συγκεντρώνουν αριθμούς τηλεφώνου και άλλα ψηφία που "πάτησε" ο χρήστης. Αυτά στη συνέχεια μεταφέρονται λαθραία σε έναν υπολογιστή που βρίσκεται στην κατοχή των επιτιθεμένων.


  Η επίθεση αυτή βασίζεται εν μέρει σε μία παρόμοια επίθεση καταγραφής πληκτρολόγησης, την TouchLogger και εκμεταλλεύεται μια σχεδιαστική αδυναμία των Android που επιτρέπει σε όλες τις εγκαταστημένες εφαρμογές την ελεύθερη πρόσβαση στις ενδείξεις των αισθητήρων κίνησης.  Σύμφωνα με τους ερευνητές παρόμοιες εφαρμογές μπορούν να έχουν σαν στόχο Blackberries καθώς επίσης και συσκευές με iOS

  Ειδικότερα, η TapLogger χρησιμοποιεί τους αισθητήρες τις οθόνης για να καταγράψει τις ανεπαίσθητες αλλαγές που πραγματοποιούνται καθώς ο χρήστης εισάγει νούμερα για να ξεκλειδώσει την οθόνη, πληκτρολογεί έναν αριθμό τηλεφώνου, ή παρέχει έναν αριθμό κοινωνικής ασφάλισης κατά τη διάρκεια μιας κλήσης σε ένα κέντρο εξυπηρέτησης υγείας. Ο background ιός, προβαίνει σε μελετημένες υποθέσεις όσον αφορά τις περιοχές της οθόνης αφής που "πατήθηκαν". Στη συνέχεια αντιστοιχίζει τις περιοχές αυτές στη διεπαφή χρήστη ενός συγκεκριμένου Android τηλεφώνου.

  Όπως αναφέρθηκε και παραπάνω, ο ιός αυτός εμφανίζεται ως ένα παιχνίδι με το όνομα HostApp που συλλέγει κρυφά δεδομένα καθώς οι χρήστες ταιριάζουν τις εικόνες. Όσο περισσότερους γύρους παίζει κάποιος τόσο καλύτερα μαντεύει ο ιός τα πλήκτρα που πατιούνται όταν οι χρήστες εισάγουν αριθμούς στη διεπαφή. Με αυτόν τον τρόπο καταφέρνει να ανακτήσει το PIN ενός χρήστη ή διάφορα άλλα αριθμητικά στοιχεία που εισήχθησαν στο τηλέφωνο.

  Για παράδειγμα, αν προσπαθήσει να σπάσει κάποιος έναν τετραψήφιο κωδικό PIN χρησιμοποιώντας κάθε δυνατό συνδυασμό, θα χρειαστεί το πολύ 10.000 συνδυασμούς. Αξιοποιώντας τις πληροφορίες που επιστρέφει ο TapLogger, μπορούν να περιοριστούν οι συνδυασμοί μόλις στους 81 με πιθανότητα επιτυχίας που φτάνει περίπου στο 100%! 

  Η έρευνα αυτή αναδεικνύει την ευπάθεια των smartphones σε τεχνικές που θα επέτρεπαν τη μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα που είναι αποθηκευμένα σε συσκευές. Η τεχνική αυτή έρχεται να προστεθεί σε αυτές που αναλύουν τις μουντζούρες στην οθόνη για να γίνουν γνωστά τα πρότυπα κωδικών για συσκευές Android. Τέλος οι ερευνητές αναφέρουν ότι και οι συσκευές που χρησιμοποιούν Windows 8 είναι επιρρεπείς σε παρόμοιες επιθέσεις.


Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου