Всеки смартфон се хаква с JavаScript приложение

Малък скрипт може да улови с точност до 70% от първия път кода за разблокиране на смартфона

Специалисти по сигурност от университета Нюкасъл разкриха възможност за проследяване на жестовете на потребителите на смартфони, вкл. iPhone. Това става с помощта на малко JavaScript приложение, което използва програмните интрефейси (API) на сензорите за движение в устройствата, става ясно от публикацията в Journal of Infermation Security.

Според авторите на изследването, подобно приложение може да събере достатъчно информация от сензорите, за да разпознае в 70% от случаите комбинацията за разблокиране на смартфона от първия опит. Точността при разпознаване на PIN кода достига 94% при трети опит със скрипта PINlogger.js.

Вредоносният код, вграден в една страница, може да следи за действията на потребителя във всички останали табове, показват изпитанията с няколко мобилни браузъра. Така например, ако в един таб е отворен ресурс със злонамерения код, а в друг – страница за оторизация в банков сайт, то скриптът ще може да прихване въвежданите от потребителя конфиденциални данни.

Подобно проследяване може да се предотврати чрез затваряне на вредоносния таб или на бразуъра като цяло, поясняват специалистите. Те вече са информирали за откритието си разработчиците на мобилни браузъри, но никой от тях няма трайно решение на проблема. Mozilla и Apple предлагат частично решение, но то не сработва във всички случаи.

Съществува и радикален начин са справяне с проблема – производителите да се откажат напълно от сензорите в смартфоните или да заставят всички сайтове и мобилни приложения да искат разрешение за достъп до датчиците. Но едва ли някой от производителите би предприел подобна стъпка.

За да се защитят в известна степен, потребителите могат по-често да сменят паролите и PIN кодовете си, като по този начин ще попречат на злонамерения код да открива регулярните им действия, посочват изследователите.

Препоръчително е също така потребителите да затварят всяко неизползвано в момента приложение, да деинсталират ненужните им програми, да обновяват редовно софтуера на мобилните си устройства и да не инсталират непроверени приложения от неофициални магазини, както и да проверяват всички разрешения, които искат мобилните приложения при инсталиране.

Коментар