แอปพลิเคชันมือถืออันตรายสามารถเดาการกด PIN จากข้อมูลเซนเซอร์

นักวิจัยจากมหาวิทยาลัย Nunyang Technological ได้ตีพิมพ์งานวิจัยที่สังเกตเห็นถึงความสำคัญจากช่องโหว่ของการออกแบบระบบปฏิบัติการอย่าง Android และ iOS ที่ไม่ได้ร้องขอการอนุญาตให้แอปพลิเคชันเข้าใช้ข้อมูลเซนเซอร์

Credit: ymgerman/ShutterStock

การทดลองที่เกิดขึ้นคือทีมนักวิจัยได้สร้างแอปพลิเคชันบน Android ขึ้นมาติดตั้งลงบนอุปกรณ์และแอบเก็บข้อมูลจากเซ็นเซอร์ 6 ตัวคือ ตัวจับความเร่ง ตัวจับการหมุน ตัววัดสนามแม่เหล็ก ตัววัดความชื้น ตัวจับความใกล้ของระยะ และตัววัดแสงโดยรอบ ซึ่งได้นำเอาอัลกอริทึมมาใช้แยกแยะการกดคีย์ที่แตกต่างกัน โดยอาศัยข้อมูลที่ได้มาจากความเอียงของอุปกรณ์และความใกล้ของแสงเมื่อผู้ใช้เคลื่อนนิ้วไปยังปุ่มกดเพื่อใส่ PIN ในการปลดล็อกเครื่อง

จากการทดลองโดยทีมงานได้ใช้ข้อมูลของการใส่ PIN แบบสุ่มจำนวน 500 ครั้งจากผู้ทดลอง 3 คนเพื่อให้อัลกอริทึมเรียนรู้ พบว่าอัลกอริทึมสามารถเดา PIN ได้แม่นยำถึง 99.5% ในครั้งแรกของการทดสอบจากลิสต์ของ PIN ทั้งหมด 50 รายการ นอกจากนี้เมื่อทดสอบไปจำนวน 20 ครั้งจากความเป็นไปได้ทั้งหมด 10,000 ค่าของเลข 4 หลัก (0-9999) พบว่าอัลกอริทึมมีความแม่นยำระหว่าง 99.5%-83.7% เลยทีเดียว “มันยังสามารถประยุกต์ใช้กับตัวเลขที่ยาวกว่านี้ได้นะ“–นักวิจัยกล่าว

ปัญหาที่นักวิจัยจะชี้ให้เห็นจริงๆ คือการที่ระบบปฏิบัติการทั้ง Android และ iOS ไม่ได้ถามสิทธิ์ของแอปพลิเคชันในการเข้าใช้ข้อมูลของเซนเซอร์ ซึ่งนี่เป็นเพียงกรณีหนึ่งที่สามารถนำข้อมูลจากเซนเซอร์เหล่านั้นไปประยุกต์ใช้งานได้ สามารถติดตามงานวิจัยได้เพิ่มเติมที่ ‘There Goes Your PIN : Exploiting Smartphone Sensor Fusion Under Single and Cross User Setting

ที่มา : https://www.bleepingcomputer.com/news/security/malicious-apps-could-guess-your-phones-pin-using-sensors-data/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือนช่องโหว่ Wavethrough บนเบราว์เซอร์ เสี่ยงถูกขโมยข้อมูลความลับ

Jake Archibald นักวิจัยและนักพัฒนาจาก Google ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงสูงบนเว็บเบราว์เซอร์สมัยใหม่อย่าง Microsoft Edge และ Mozilla Firefox ซึ่งช่วยให้เว็บไซต์ที่ผู้ใช้เข้าถึงสามารถขโมยข้อมูลจากเว็บไซต์อื่นๆ เช่น ข้อมูลล็อกอิน ที่เปิดใช้บนเบราว์เซอร์เดียวกันได้

Cisco ออกแพตช์อุดช่องโหว่บน FXOS และ NX-OS รวม 24 รายการ

Cisco ผู้ให้บริการโซลูชันด้านเครือข่ายและ Data Center ชื่อดัง ออก Security Advisories สำหรับให้คำแนะนำการจัดการกับช่องโหว่บนซอฟต์แวร์ FXOS และ NX-OS รวม 24 รายการ …