Хакеры могут угадать PIN-код нового смартфона с трех попыток

По мнению исследователей, сенсоры продвинутых смартфонов представляют собой потенциальную опасность. Акселерометр, гироскоп и датчики приближения и освещенности могут стать источником уязвимости для хакерских программ, ворующих пин-коды. Исследование об этом было опубликовано в Cryptology ePrint Archive.

Используя самые современные алгоритмы машинного обучения и комбинацию данных, собранных с шести разных датчиков, встроенных в смартфоны, ученые из Наньянского технологического университета смогли разблокировать смартфоны Android с точностью до 99,5% всего за три попытки, если на телефоне был один из 50 наиболее распространенных номеров PIN.

«Когда вы держите свой телефон и вводите PIN-код, ваши движения при нажатии на экране единицы, пятерки и девятки сильно различаются. Аналогично, если вы нажимаете правым большим пальцем единицу, это закрывает больше света, чем если бы вы нажали девятку», — объясняет старший научный сотрудник Наньянского технологического университета (НТУ) доктор Шивам Бхасин.

Команда исследователей установила на смартфоны с операционной системой Android cпециальное приложение, которое собирало данные из шести встроенных датчиков: акселерометра, гироскопа, магнитометра, датчика приближения, барометра и датчика внешней освещенности. Ученые использовали эти датчики для того, чтобы в зависимости от наклона телефона и того, насколько большой или другие пальцы пользователя загораживали свет, определить цифру, которую нажал пользователь. Калибровали алгоритм три человека, каждый из которых вводил случайный набор из 70 четырехзначных последовательностей, в то время как телефон зафиксировал соответствующие реакции датчиков. Хотя каждый человек вводит свой PIN-код по-разному, ученые показали, что по мере того, как с течением времени алгоритм анализирует данные от большего числа людей, показатели успеха улучшаются.

До этого «наилучшим» результатом для 50 наиболее распространенных последовательностей была вероятность взлома в 74%. Однако всей мощности вычислительной техники НТУ хватило бы, чтобы угадать четырехзначный PIN-код и из всех 10 000 возможных комбинаций. Хотя вредоносное приложение не может правильно угадать PIN-код сразу после установки, оно может собирать данные от тысяч пользователей в течение долгого времени и, используя машинное обучение, улучшать свой алгоритм. Хакеры могут запустить атаку позже, когда вероятность успеха будет намного выше.

Исследователи полагают, что их работа подчеркивает существенный недостаток в обеспечении безопасности смартфона, поскольку использование датчиков в телефонах не требует никакого «разрешения» от пользователя и доступно для всех приложений.