แอปพลิเคชันมือถืออันตรายสามารถเดาการกด PIN จากข้อมูลเซนเซอร์

นักวิจัยจากมหาวิทยาลัย Nunyang Technological ได้ตีพิมพ์งานวิจัยที่สังเกตเห็นถึงความสำคัญจากช่องโหว่ของการออกแบบระบบปฏิบัติการอย่าง Android และ iOS ที่ไม่ได้ร้องขอการอนุญาตให้แอปพลิเคชันเข้าใช้ข้อมูลเซนเซอร์

Credit: ymgerman/ShutterStock

การทดลองที่เกิดขึ้นคือทีมนักวิจัยได้สร้างแอปพลิเคชันบน Android ขึ้นมาติดตั้งลงบนอุปกรณ์และแอบเก็บข้อมูลจากเซ็นเซอร์ 6 ตัวคือ ตัวจับความเร่ง ตัวจับการหมุน ตัววัดสนามแม่เหล็ก ตัววัดความชื้น ตัวจับความใกล้ของระยะ และตัววัดแสงโดยรอบ ซึ่งได้นำเอาอัลกอริทึมมาใช้แยกแยะการกดคีย์ที่แตกต่างกัน โดยอาศัยข้อมูลที่ได้มาจากความเอียงของอุปกรณ์และความใกล้ของแสงเมื่อผู้ใช้เคลื่อนนิ้วไปยังปุ่มกดเพื่อใส่ PIN ในการปลดล็อกเครื่อง

จากการทดลองโดยทีมงานได้ใช้ข้อมูลของการใส่ PIN แบบสุ่มจำนวน 500 ครั้งจากผู้ทดลอง 3 คนเพื่อให้อัลกอริทึมเรียนรู้ พบว่าอัลกอริทึมสามารถเดา PIN ได้แม่นยำถึง 99.5% ในครั้งแรกของการทดสอบจากลิสต์ของ PIN ทั้งหมด 50 รายการ นอกจากนี้เมื่อทดสอบไปจำนวน 20 ครั้งจากความเป็นไปได้ทั้งหมด 10,000 ค่าของเลข 4 หลัก (0-9999) พบว่าอัลกอริทึมมีความแม่นยำระหว่าง 99.5%-83.7% เลยทีเดียว “มันยังสามารถประยุกต์ใช้กับตัวเลขที่ยาวกว่านี้ได้นะ“–นักวิจัยกล่าว

ปัญหาที่นักวิจัยจะชี้ให้เห็นจริงๆ คือการที่ระบบปฏิบัติการทั้ง Android และ iOS ไม่ได้ถามสิทธิ์ของแอปพลิเคชันในการเข้าใช้ข้อมูลของเซนเซอร์ ซึ่งนี่เป็นเพียงกรณีหนึ่งที่สามารถนำข้อมูลจากเซนเซอร์เหล่านั้นไปประยุกต์ใช้งานได้ สามารถติดตามงานวิจัยได้เพิ่มเติมที่ ‘There Goes Your PIN : Exploiting Smartphone Sensor Fusion Under Single and Cross User Setting

ที่มา : https://www.bleepingcomputer.com/news/security/malicious-apps-could-guess-your-phones-pin-using-sensors-data/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือนแคมเปญ Phishing บริการ Office 365 หลอกมีอีเมลที่ไม่ถูกส่ง

ผู้เชี่ยวชาญได้ค้นพบความพยายามรอบใหม่ของคนร้ายที่หลอกเหยื่อด้วยการส่งข้อความแจ้งเตือนคล้ายกับว่ามาจาก Office 365 แจ้งว่ามีอีเมลไม่ถูกส่งออกเพื่อจงใจขโมย Credentials ของผู้ใช้งาน

ผลทดสอบพบแบบพิมพ์ 3 มิติสามารถผ่านระบบจดจำใบหน้าในโทรศัพท์หลายรุ่นได้

ผู้เชี่ยวชาญจาก Forbes ได้สร้างโมเดล 3 มิติขึ้นเพื่อทดสอบกับโทรศัพท์ที่เปิดใช้งานระบบจดจำใบหน้าเอาไว้ โดยเลือก Android มาทดสอบจำนวน 4 รุ่นมาเปรียบเทียบกับระบบป้องกันโทรศัพท์จากค่าย Apple ผลคือโทรศัพท์จากค่าย Android ทั้งหมดถูกหลอกได้จากแบบพิมพ์ 3 …