แอปพลิเคชันมือถืออันตรายสามารถเดาการกด PIN จากข้อมูลเซนเซอร์

นักวิจัยจากมหาวิทยาลัย Nunyang Technological ได้ตีพิมพ์งานวิจัยที่สังเกตเห็นถึงความสำคัญจากช่องโหว่ของการออกแบบระบบปฏิบัติการอย่าง Android และ iOS ที่ไม่ได้ร้องขอการอนุญาตให้แอปพลิเคชันเข้าใช้ข้อมูลเซนเซอร์

Credit: ymgerman/ShutterStock

การทดลองที่เกิดขึ้นคือทีมนักวิจัยได้สร้างแอปพลิเคชันบน Android ขึ้นมาติดตั้งลงบนอุปกรณ์และแอบเก็บข้อมูลจากเซ็นเซอร์ 6 ตัวคือ ตัวจับความเร่ง ตัวจับการหมุน ตัววัดสนามแม่เหล็ก ตัววัดความชื้น ตัวจับความใกล้ของระยะ และตัววัดแสงโดยรอบ ซึ่งได้นำเอาอัลกอริทึมมาใช้แยกแยะการกดคีย์ที่แตกต่างกัน โดยอาศัยข้อมูลที่ได้มาจากความเอียงของอุปกรณ์และความใกล้ของแสงเมื่อผู้ใช้เคลื่อนนิ้วไปยังปุ่มกดเพื่อใส่ PIN ในการปลดล็อกเครื่อง

จากการทดลองโดยทีมงานได้ใช้ข้อมูลของการใส่ PIN แบบสุ่มจำนวน 500 ครั้งจากผู้ทดลอง 3 คนเพื่อให้อัลกอริทึมเรียนรู้ พบว่าอัลกอริทึมสามารถเดา PIN ได้แม่นยำถึง 99.5% ในครั้งแรกของการทดสอบจากลิสต์ของ PIN ทั้งหมด 50 รายการ นอกจากนี้เมื่อทดสอบไปจำนวน 20 ครั้งจากความเป็นไปได้ทั้งหมด 10,000 ค่าของเลข 4 หลัก (0-9999) พบว่าอัลกอริทึมมีความแม่นยำระหว่าง 99.5%-83.7% เลยทีเดียว “มันยังสามารถประยุกต์ใช้กับตัวเลขที่ยาวกว่านี้ได้นะ“–นักวิจัยกล่าว

ปัญหาที่นักวิจัยจะชี้ให้เห็นจริงๆ คือการที่ระบบปฏิบัติการทั้ง Android และ iOS ไม่ได้ถามสิทธิ์ของแอปพลิเคชันในการเข้าใช้ข้อมูลของเซนเซอร์ ซึ่งนี่เป็นเพียงกรณีหนึ่งที่สามารถนำข้อมูลจากเซนเซอร์เหล่านั้นไปประยุกต์ใช้งานได้ สามารถติดตามงานวิจัยได้เพิ่มเติมที่ ‘There Goes Your PIN : Exploiting Smartphone Sensor Fusion Under Single and Cross User Setting

ที่มา : https://www.bleepingcomputer.com/news/security/malicious-apps-could-guess-your-phones-pin-using-sensors-data/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

รู้จักกับโซลูชัน AlgoSec ผู้เชี่ยวชาญด้าน Network Security Policy Management โดย GrowPro และ Perion Solution

หากคุณกำลังเผชิญกับความยุ่งยากจาก Firewall Policy นับพันรายการ หรือนโยบายการใช้โซลูชันป้องกันหลายแบรนด์ ซึ่งทำให้เวลาส่วนใหญ่จมกับกับการบริหารจัดการ แถมเกิดความผิดพลาดได้บ่อยครั้ง โซลูชัน Network Security Policy Management อาจเป็นคำตอบสำหรับคุณ

ยิบอินซอย ประกาศทิศทางธุรกิจไซเบอร์ซีเคียวริตี้ ผนึกพันธมิตรไอทีชั้นนำจัดงานใหญ่ ‘Cybersecurity Assemble’ [PR]

บริษัท ยิบอินซอย จำกัด เปิดตัวทิศทางธุรกิจไซเบอร์ซีเคียวริตี้ โดยจัดตั้งทีมเน็ตเวิร์คและไซเบอร์ซีเคียวริตี้ เพื่อรุกตลาดในภาคการเงิน การธนาคาร โทรคมนาคม พลังงาน สุขภาพ การศึกษา รวมถึงองค์กรภาครัฐและเอกชนทุกขนาด ผนึกพันธมิตรไอทีชั้นนำระดับโลกกว่า 20 ราย …