แอปพลิเคชันมือถืออันตรายสามารถเดาการกด PIN จากข้อมูลเซนเซอร์

นักวิจัยจากมหาวิทยาลัย Nunyang Technological ได้ตีพิมพ์งานวิจัยที่สังเกตเห็นถึงความสำคัญจากช่องโหว่ของการออกแบบระบบปฏิบัติการอย่าง Android และ iOS ที่ไม่ได้ร้องขอการอนุญาตให้แอปพลิเคชันเข้าใช้ข้อมูลเซนเซอร์

Credit: ymgerman/ShutterStock

การทดลองที่เกิดขึ้นคือทีมนักวิจัยได้สร้างแอปพลิเคชันบน Android ขึ้นมาติดตั้งลงบนอุปกรณ์และแอบเก็บข้อมูลจากเซ็นเซอร์ 6 ตัวคือ ตัวจับความเร่ง ตัวจับการหมุน ตัววัดสนามแม่เหล็ก ตัววัดความชื้น ตัวจับความใกล้ของระยะ และตัววัดแสงโดยรอบ ซึ่งได้นำเอาอัลกอริทึมมาใช้แยกแยะการกดคีย์ที่แตกต่างกัน โดยอาศัยข้อมูลที่ได้มาจากความเอียงของอุปกรณ์และความใกล้ของแสงเมื่อผู้ใช้เคลื่อนนิ้วไปยังปุ่มกดเพื่อใส่ PIN ในการปลดล็อกเครื่อง

จากการทดลองโดยทีมงานได้ใช้ข้อมูลของการใส่ PIN แบบสุ่มจำนวน 500 ครั้งจากผู้ทดลอง 3 คนเพื่อให้อัลกอริทึมเรียนรู้ พบว่าอัลกอริทึมสามารถเดา PIN ได้แม่นยำถึง 99.5% ในครั้งแรกของการทดสอบจากลิสต์ของ PIN ทั้งหมด 50 รายการ นอกจากนี้เมื่อทดสอบไปจำนวน 20 ครั้งจากความเป็นไปได้ทั้งหมด 10,000 ค่าของเลข 4 หลัก (0-9999) พบว่าอัลกอริทึมมีความแม่นยำระหว่าง 99.5%-83.7% เลยทีเดียว “มันยังสามารถประยุกต์ใช้กับตัวเลขที่ยาวกว่านี้ได้นะ“–นักวิจัยกล่าว

ปัญหาที่นักวิจัยจะชี้ให้เห็นจริงๆ คือการที่ระบบปฏิบัติการทั้ง Android และ iOS ไม่ได้ถามสิทธิ์ของแอปพลิเคชันในการเข้าใช้ข้อมูลของเซนเซอร์ ซึ่งนี่เป็นเพียงกรณีหนึ่งที่สามารถนำข้อมูลจากเซนเซอร์เหล่านั้นไปประยุกต์ใช้งานได้ สามารถติดตามงานวิจัยได้เพิ่มเติมที่ ‘There Goes Your PIN : Exploiting Smartphone Sensor Fusion Under Single and Cross User Setting

ที่มา : https://www.bleepingcomputer.com/news/security/malicious-apps-could-guess-your-phones-pin-using-sensors-data/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

CrowdStrike ออกรายงาน 2024 Global Threat Report สรุปภาพรวมภัยคุกคาม

CrowdStrike ออกรายงาน 2024 Global Threat Report สรุปภาพรวมภัยคุกคามในปีที่แล้ว พบการโจมตีระบบ Cloud มีสัดส่วนเพิ่มขึ้น 75%

VMware เตือนผู้ใช้งานปลั๊กอิน EAP รีบลบออกด่วนหลังพบช่องโหว่ร้ายแรง

VMware Enhanced Authentication Plug-in (EAP) ได้ถูกประกาศยุติการไปต่อมาตั้งแต่ปี 2021 แล้วตั้งแต่ vCenter Version 7.0 update 2 มิหนำซ้ำล่าสุดยังพบช่องโหว่ร้ายแรงอีกต่างหาก ด้วยเหตุนี้ทาง …