A fitneszkiegészítőkbe épített mozgásérzékelő nagy csibész

Az egyszerű készpénzfelvétel is veszélyeket rejt. Hatékonyan lehet például PIN kódot lopni az okosórát viselő áldozattól anélkül, hogy bármilyen formában hozzáférnénk az eszközeihez.

Írta: Szűcs Péter
Forrás: IEEE Spectrum
2016-07-08 12:17

A fitneszkiegészítők első hullámát, illetve az okosórák hírnökeit a fogyasztók hatékonyan kerülték ki azzal a kifogással, hogy semmi szükség rájuk. Aztán néhányan mégis bevásároltak, a többiek pedig egyre erősebb sóvárgást éreztek, míg csak-csak beindult az ipar.

A piaci résre rástartolva a nagy gyártók mellett megszámolhatatlanul sok új szereplő próbált szerencsét, kisebb-nagyobb (és hatalmas) sikerrel. A biztonsági szakemberek megállás nélkül jelentették a különböző sebezhetőségeket és rosszindulatú árukapcsolásokat. Mostanra azt hihettük, már mindent láttunk ezen a téren is, ekkor érkezett a Binghamton Egyetemen kísérletéről szóló tájékoztató.

A 11. alkalommal megrendezett Association for Computing Machinery Asia Conference on Computer and Communications Security (ASIACCS) kiváló terep volt arra, hogy az egyetem prezentáljon egy olyan algoritmust, amivel az okosórák mozgásérzékelőjének adataiból 80 százalékos pontossággal fejtsék vissza a viselő bankkártyájához tartozó PIN kódot.

Ha háromszor is próbálkozhatnak, már 90 százalék felett jár a sikerességi mutató annak ellenére, hogy a kutatás vezetője is szkeptikus volt eleinte. A kísérletben résztvevő 20 önkéntes összesen 5000 alkalommal írta be a négyjegyű numerikus jelszavát, három különböző billentyűzeten: ATM automatán, bolti terminálon és egyszerű QWERTY billentyűzeten.

Az "áldozatok" csuklóját eközben egy LG W150, vagy egy Moto360, illetve egy Invensense MPU-9150 karolta át. A kutatók megizzadtak, amikor az adathalomból ki akarták választani a megfelelő mozdulatokat. A megoldásban a kód jóváhagyása segített: az "enter" megnyomásától visszafelé haladva minimalizálni tudták a hibákat. Ez az eljárás annyiban nem újszerű, hogy az Illinois Egyetemen tavaly szeptemberben már bemutattak egy keylogert, ami nagyon hasonlóan működik.

Azt persze senki sem állítja, hogy már most is vezeték nélküli egységek vadásznának a Bluetooth jelekre az ATM-ek körül, de az egyetem dolgozói fontosnak tartották felhívni a figyelmet a veszélyre, egyúttal a gyártóknak azt javasolták, figyeljenek jobban a kommunikáció biztonságára, vagy legalább tegyenek digitális zajokat az adatfolyamba. Addig is, az igazán óvatosak két gombnyomás között plusz kézmozdulatokkal nehezíthetik meg az esetleges támadások sikerességét, vagy még egyszerűbb, ha nem azzal a kézzel írják be a jelszót, amelyiken a mozgásérzékelőt hordják.

Hozzászólások (41)

Azóta történt

Kéne a biztonságos jelszó, de nem teszünk érte

Egy friss kutatás eredményei rámutattak, hogy a különböző emberek két fő okkal magyarázzák meg maguknak, miért lusták rendes jelszavakat kreálni.

Biztonság 2016-10-05 74

Előzmények

A kiberbűnözők rárepültek az ATM-ekre is

Az ATM-eket érő malware-támadások növekedését jósolja az Europol és a TrendMicro közös felmérése, mivel csupán az elmúlt egy év során 15 százalékkal emelkedett az ilyen kibertámadások száma

Biztonság 2016-06-21 29
Olvasnivaló: az internetes bankolás veszélyei

Az internetes szervezett bűnözés első számú motivációja régóta a pénzügyi haszonszerzés, így nem meglepő, hogy a támadások jelentős része az online bankolást veszi célba.

Biztonság 2016-06-15 44
A Myspace és a VK.com félmilliárd rekordot bukott, Zuckerberg Twittert

Szűk egy hét alatt 460 millió belépési információ lett nyilvános, a Facebook első embere nevetséges jelszót alkalmazott.

Biztonság 2016-06-06 60
Könnyen feltörhetőek az ATM-ek

A világ szinte bármelyik ATM-jéhez hozzá lehet férni illegálisan, és ki lehet azt fosztani egy rosszindulatú program segítségével, vagy akár anélkül is – írják a biztonsági cég jelentésében.

Biztonság 2016-04-28 42