เซ็นเซอร์เยอะไปทำพิษ ถอดรหัส PIN จากการเคลื่อนไหวของสมาร์ทโฟน

ทีมนักวิจัยจากมหาวิทยาลัยนิวคาสเซิล สหราชอาณาจักร ประสบความสำเร็จในการเดารหัส PIN และรหัสผ่านโดยอาศัยการเก็บข้อมูลจากเซ็นเซอร์บนสมาร์ทโฟนขณะพิมพ์กว่า 25 รายการ ไม่ว่าจะเป็นการเอียง การเคลื่อนไหว มุมองศาของอุปกรณ์ ชี้แม่นยำสูงถึง 74%

Credit: ymgerman/ShutterStock

ปัจจุบันนี้อุปกรณ์สมาร์ทโฟนมาพร้อมกับเซ็นเซอร์ตรวจจับมากมาย ไม่ว่าจะเป็น GPS, กล้อง, ไมโครโฟน, ตัววัดความเร่ง, ตัววัดคลื่นแม่เหล็ก, ตัววัดการหมุน, ตัวรับรู้สิ่งใกล้เคียง, ตัววัดจังหวะการเดิน และ NFC เป็นต้น ซึ่งโดยปกติแล้ว การใช้เซ็นเซอร์หลักบางรายการ เช่น GPS กล้อง และไมโครโฟน แอพพลิเคชันจำเป็นต้องร้องขอคำอนุญาตจากผู้ใช้ก่อน แต่ด้วยความยอดนิยมของแอพพลิเคชันเกมและฟิตเนสในช่วงไม่กี่ปีมานี้ ทำให้ระบบปฏิบัติการของสมาร์ทโฟนอนุญาตให้แอพพลิเคชันเหล่านั้นอ่านข้อมูลจากเซ็นเซอร์อื่นๆ เช่น ตัวเร่งความเร็ว ตัววัดการหมุน หรือตัวจับการเคลื่อนไหวได้ทันที

นักวิจัยจึงอาศัยช่องโหว่ตรงจุดในการเขียนสคริปต์เพื่อเข้าถึงและอ่านข้อมูลจากเซ็นเซอร์รวมแล้วกว่า 25 รายการขณะที่ผู้ใช้พิมพ์รหัส PIN หรือรหัสผ่านเพื่อปลดล็อกอุปกรณ์หรือกรอกข้อมูลบนเว็บไซต์ของธนาคารเพื่อคาดเดารหัสเหล่านั้น โดยอาศัยการตรวจจับการเคลื่อนไหว การเอียง การหมุน องศา และอื่นๆ ของอุปกรณ์

วิดีโอด้านล่างสาธิตวิธีการเก็บข้อมูลจากเซ็นเซอร์บนอุปกรณ์ Apple iOS โดยใช้ JavaScript ซึ่งสามารถฝังไว้บนแอพพลิเคชันหรือบนเว็บไซต์ เมื่อผู้ใช้เผลอติดตั้งแอพพลิเคชันหรือเข้าถึงเว็บไซต์ดังกล่าว นักวิจัยหรือแฮ็คเกอร์สามารถคาดเดารหัสผ่านได้ทันทีโดยที่ผู้ใช้ไม่รู้ตัว ต่อให้แอพพลิเคชันหรือเว็บไซต์นั้นกำลังทำงานอยู่เบื้องหลังก็ตาม

นักวิจัยระบุว่า จากการทดสอบอุปกรณ์ทั้งหมด 50 เครื่อง พวกเขาสามารถคาดเดารหัสผ่านได้แม่นยำถึง 74% จากการลองใส่รหัส PIN 4 ตัวอักษรครั้งแรก และ 100% เมื่อมีการใส่รหัส PIN 5 ครั้ง ทั้งนี้สคริปต์ที่ใช้ไม่มีการร้องขอคำอนุญาตการใช้เซ็นเซอร์ใดๆ เป็นพิเศษ นอกจากนี้ วิธีการดังกล่าวยังช่วยให้นักวิจัยทราบว่าขณะนั้นผู้ใช้กำลังกดโทรศัพท์ หรือเลื่อนหน้าจอได้อีกด้วย ทำให้พวกเขาทราบได้ว่าขณะนั้นผู้ใช้กำลังอยู่ส่วนไหนของหน้าเพจ และกำลังพิมพ์อะไรอยู่

เป้าหมายหลักของการวิจัยครั้งนี้คือการยกระดับความตระหนักด้านความมั่นคงปลอดภัยของการใช้เซ็นเซอร์บนอุปกรณ์สมาร์ทโฟนโดยไม่มีการขออนุญาตก่อน ผู้ที่สนใจสามารถอ่านรายละเอียดงานวิจัยฉบับเต็มได้ที่ Stealing PINs via Mobile Sensors: Actual Risk Versus User Perception

ที่มา: http://thehackernews.com/2017/04/phone-sensor-password-hacking.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Google Chrome Enhanced Protection ปกป้องผู้ใช้จากภัยคุกคามออนไลน์ได้กว่า 1 พันล้านรายแล้ว

Google ฉลองก้าวสำคัญ โดยประกาศว่าโหมด Enhanced Protection ใน Chrome ซึ่งใช้ปัญญาประดิษฐ์ (AI) และแมชชีนเลิร์นนิงเพื่อตรวจจับและบล็อกภัยคุกคามออนไลน์แบบเรียลไทม์ ขณะนี้สามารถปกป้องผู้ใช้ได้กว่า 1 พันล้านรายจากฟิชชิงและการหลอกลวงออนไลน์แล้ว

Microsoft ออกแพตช์ประจำเดือนกุมภาพันธ์ 2025 แก้ไขช่องโหว่ Zero-day 4 รายการและช่องโหว่อื่นอีก 55 รายการ

Microsoft ออกอัปเดตความปลอดภัยประจำเดือนกุมภาพันธ์ 2025 แก้ไขช่องโหว่ทั้งหมด 55 รายการ รวมถึงช่องโหว่ Zero-day 4 รายการ โดยมี 2 รายการที่ถูกนำไปใช้โจมตีแล้ว