บ้าน Securitywatch Rsac: มีคนดูทุกครั้งที่คุณแตะสมาร์ทโฟนของคุณหรือไม่

Rsac: มีคนดูทุกครั้งที่คุณแตะสมาร์ทโฟนของคุณหรือไม่

วีดีโอ: Le Sac à Main (ธันวาคม 2024)

วีดีโอ: Le Sac à Main (ธันวาคม 2024)
Anonim

Keyloggers เป็นโปรแกรมเล็ก ๆ ที่น่ารังเกียจซึ่งนั่งอยู่บนพีซีของคุณและบันทึกการกดแป้นทุกครั้งอย่างขยันขันแข็ง หากคุณต้องการขโมยรหัสผ่านธนาคารของใครบางคนคีย์ล็อกเกอร์เป็นเครื่องมือที่สมบูรณ์แบบ นาธานแมคเกาลีย์ผู้จัดการฝ่ายความปลอดภัยของสแควร์นำเสนอที่ RSAC 2014 และที่ปรึกษาด้านความปลอดภัยอาวุโสของ Trustwave Neal Hindocha แสดงให้เห็นว่าการทำสิ่งเดียวกันกับสมาร์ทโฟนหน้าจอสัมผัสนั้นไม่ใช่เรื่องยากเลย

หานิ้วมือ

วิธีที่ดีที่สุดในการสกัดกั้นข้อมูลการสัมผัสบน iOS ก็คือ "เมธอดที่รวดเร็ว" McCauley กล่าวว่านี่เป็น "เหมือนการโจมตีแบบคนต่อคนกลางสำหรับการเรียกใช้วิธีการภายในระบบปฏิบัติการ" หากคุณรู้ว่ามีวิธีการเฉพาะที่จะถูกเรียกว่า McCauley อธิบายคุณสามารถแทรกไลบรารีที่ดักและบันทึกเหตุการณ์ก่อนที่จะผ่านเหตุการณ์ไปตามปกติ ผลที่สุดคือคุณสามารถรับข้อมูลทุกประเภทแม้กระทั่งภาพหน้าจอโดยไม่กระทบต่อประสิทธิภาพของโทรศัพท์

โดยทั่วไปแล้วสิ่งนี้จะทำให้ iPhone ต้องถูกเจลเบรคก่อน อย่างไรก็ตามผู้นำเสนอยอมรับการวิจัยจาก FireEye ที่เผยแพร่ก่อนหน้านี้ในสัปดาห์ที่แสดงให้เห็นว่าไม่จำเป็นต้องเป็นเช่นนั้น จนกว่า Apple จะอัปเดต iOS ผู้ใช้อาจถูกตรวจสอบแม้ว่าอุปกรณ์ของพวกเขาจะไม่ถูกเจลเบรค

บนอุปกรณ์ Android ที่รูทเครื่องจะง่ายยิ่งขึ้น Hindocha ใช้เครื่องมือ "getevent" ซึ่งมีอยู่ในอุปกรณ์ Android ทั้งหมดเพื่อบันทึกพิกัด X และ Y ของทุกการสัมผัส นอกจากนี้เขายังสามารถใช้ getevent เพื่อบันทึกการเคลื่อนไหวของการรูดและเมื่อกดปุ่มฮาร์ดแวร์

สำหรับ Android ที่ไม่ได้รับการรูทซึ่งส่วนใหญ่เป็น Android คุณยังสามารถใช้การแข่งขันได้ ในการทำเช่นนั้นโทรศัพท์จะต้องเปิดใช้งานการแก้ไขข้อบกพร่อง USB และเชื่อมต่อกับคอมพิวเตอร์ เมื่อใช้สะพานแก้จุดบกพร่อง Android, Hindocha ก็สามารถได้รับสิทธิ์ในระดับสูงที่จำเป็นในการเรียกใช้งาน

แน่นอนว่าอุปกรณ์ Android ไม่ได้อยู่ในโหมดแก้ไขข้อผิดพลาดตามค่าเริ่มต้น (และเรา ไม่ แนะนำให้เปิดใช้งานเลย) นอกจากนี้การเข้าถึงทางกายภาพไปยังอุปกรณ์นั้นยังช่วย จำกัด ประสิทธิภาพของการโจมตีนี้ อย่างไรก็ตาม Hindocha แสดงให้เห็นว่าเป็นไปได้ในทางทฤษฎีที่จะใช้การรวมกันของวอลล์เปเปอร์สดที่เป็นอันตรายซึ่งไม่จำเป็นต้องมีสิทธิ์พิเศษในการดูข้อมูลการสัมผัสและแอพที่ซ้อนทับเพื่อดักจับข้อมูลการสัมผัส

คุณได้สัมผัสแล้ว

เมื่อพวกเขาหาวิธีการรับข้อมูลการสัมผัสนักวิจัยจะต้องเข้าใจว่าจะทำอย่างไรกับมัน ตอนแรกพวกเขาคิดว่าจำเป็นต้องจับภาพหน้าจอเพื่อจับคู่ข้อมูลการสัมผัสกับสิ่งที่มีประโยชน์ แต่ฮินดูบอกว่าไม่ใช่กรณี “ ในขณะที่เราก้าวหน้าฉันรู้ว่าฉันสามารถคิดได้อย่างง่ายดายว่าเกิดอะไรขึ้นเพียงแค่มองดูจุดต่าง ๆ ” เขากล่าว

เคล็ดลับคือการหาเบาะแสที่เฉพาะเจาะจงเพื่อระบุประเภทของการป้อนข้อมูลที่เกิดขึ้น การเคลื่อนไหวโดยเฉพาะอย่างยิ่งของการลากและแตะอาจเป็น Angry Birds ในขณะที่สี่ก๊อกจากนั้นหนึ่งในห้าที่มุมขวาล่างของหน้าจออาจเป็น PIN Hindocha กล่าวว่าพวกเขาสามารถบอกได้เมื่อมีการเขียนอีเมลหรือข้อความตัวอักษรเนื่องจากพื้นที่ที่มีการกดปุ่ม Backspace ซ้ำหลายครั้ง "ผู้คนทำผิดพลาดมากมายเมื่อพวกเขาเขียนอีเมล" เขาอธิบาย

อยู่อย่างปลอดภัย

นักวิจัยตั้งข้อสังเกตว่านี่เป็นเพียงหนึ่งวิธีในการบันทึกสิ่งที่พิมพ์ลงในสมาร์ทโฟน ตัวอย่างเช่นแป้นพิมพ์ที่เป็นอันตรายสามารถขโมยรหัสผ่านธนาคารของคุณได้อย่างง่ายดาย

ผู้ใช้ iOS ที่เป็นกังวลเกี่ยวกับ touchlogging ควรหลีกเลี่ยงการจำคุกอุปกรณ์ของตนแม้ว่าการวิจัย FireEye ชี้ให้เห็นว่ายังไม่เพียงพอ โชคดีที่แมคเกาลีย์กล่าวว่าวิธีการวกวนเป็นเรื่องง่ายสำหรับผู้จัดการอุปกรณ์ที่มีความชำนาญในการตรวจจับ

สำหรับ Android ปัญหานี้ค่อนข้างจะเต็มไปหมด อีกครั้งการรูทอุปกรณ์จะเปิดขึ้นเพื่อโจมตีคุณ นอกจากนี้การเปิดใช้งานโหมดการแก้ไขข้อบกพร่องจะช่วยให้ผู้โจมตีเข้าสู่อุปกรณ์ของคุณ โดยปกติแล้วสิ่งเหล่านี้จะไม่ปรากฏในโทรศัพท์ Android ที่มีสต็อกแม้ว่า McCauley จะแสดงข้อยกเว้นที่สำคัญ เขากล่าวว่าในระหว่างการวิจัยของพวกเขาพวกเขาค้นพบว่าโทรศัพท์ที่ส่งจากผู้ผลิตที่ไม่มีชื่อนั้นได้รับการกำหนดค่าในลักษณะที่อาจทำให้ผู้โจมตีเข้าถึงการโจมตีได้

แม้ว่างานวิจัยของพวกเขาจะมีการใช้งานจริง ก๊อกและ swipes ของเรามีความปลอดภัยอย่างน้อยตอนนี้

Rsac: มีคนดูทุกครั้งที่คุณแตะสมาร์ทโฟนของคุณหรือไม่