{:uk}Компанія Apple закрила небезпечну уразливість JavaScript, що дозволяє веб-сайтам зчитувати дані з сенсорів iPhone і дізнаватися таким чином паролі для доступу до пристрою.
Британські дослідники знайшли спосіб за допомогою JavaScript відстежувати рух пальців користувача – наприклад, при розблокуванні смартфонів. За твердженням дослідників, в 70% випадків їх програмі вдавалося з’ясувати чотиризначний PIN з першого разу. З третього разу програма «вгадувала» код розблокування вже в 94% випадків.
Дослідники питань безпеки з університету Ньюкасла в Британії опублікували роботу в виданні Journal of Infermation Security, в якій описали можливість відстежувати призначені для користувача жести на смартфонах. Для цього буде потрібно лише невеликий веб-сервіс на JavaScript, який експлуатує програмні інтерфейси (API) сенсорів руху пристрою. Спонсор запису: native-english.com.ua
За твердженням авторів дослідження, це додаток може зібрати достатньо інформації з сенсорів, щоб в 70% випадків з’ясувати комбінацію розблокування з першої спроби.З третьої спроби скрипт PINlogger.js «вгадує» PIN в 94% випадків.
«Велика частина смартфонів, планшетів та інших носяться пристроїв сьогодні оснащені безліччю сенсорів, в діапазоні від загальновідомих GPS-модулів, камер і мікрофонів до гіроскопів, сенсорів дальності і обертання, акселерометрів, а також NFC-модулів. Оскільки мобільні додатки і веб-сайти не потребують спеціальних дозволах на доступ до більшості з них, шкідливі програми можуть таємно шпигувати за потоками даних з ваших сенсорів і використовувати їх для отримання широкого діапазону важливих відомостей про вас, в тому числі, про тривалість дзвінків, фізичної активності і навіть … про PIN і паролі », – йдеться в публікації дослідників.
Як зазначила в прес-релізі керівник дослідницької групи доктор Маріам Мернежад, її колегам вдалося з’ясувати, що в декількох мобільних браузерах шкідливий код, вбудований в одну сторінку, може стежити за всіма діями користувача на всіх інших вкладках. Тобто, наприклад, якщо в одній вкладці відкритий ресурс, що містить шкідливий скрипт, а в іншій – сторінка авторизації банку, то скрипт все одно може перехоплювати введені користувачем дані. Іноді запобігти цьому допоможе закриття «шкідливої» вкладки, іноді – тільки закриття браузера цілком.
На сьогоднішній день смартфони оснащуються в середньому 25 різними сенсорами.Веб-сайти та сторонні додатки запитують у користувача дозвіл на використання лише невеликої частини цих сенсорів – камери, мікрофона, GPS і деяких інших. Решта сенсори використовуються в фоновому режимі без відома користувачів.
При цьому кожен дотик пальців користувача до сенсорної панелі на дисплеї пристрою реєструється як унікальний потік даних, що включає інформацію про орієнтацію та рух пристрою в просторі.
«Це як збирати мозаїку – чим більше фрагментів зібрані разом, тим краще видно загальна картина», – зазначив співавтор дослідження, доктор Сіамак Шахандашті (Siamak Shahandashti). – Залежно від того, як ми набираємо текст на смартфоні – тримаючи його в одній руці і використовуючи тільки великий палець тієї ж руки або пальці іншої; від того, чи просто торкаєтеся до екрану або проводите по ньому пальцем, пристрій буде нахилятися в ту чи іншу сторону, і поступово стає дуже просто помітити закономірності його руху, пов’язані з регулярними «сигнатурами дотику» ».
За словами Шахандашті, різні сенсори можуть надати в цілому безліч різних відомостей про поведінку користувачів, в тому числі для того, щоб обчислити їх паролі.
Дослідники повідомили про проблему Apple і інших виробників мобільних браузерів. У iOS 9.3 компанія впровадила рішення для захисту від даної уразливості. Відомо, що Mozilla також представила часткове рішення, яке допомагає в деяких випадках.
Існує радикальний спосіб – відмовитися від сенсорів в смартфонах зовсім або змусити всі сайти і мобільні додатки запитувати дозвіл на доступ до кожного з них.Але на це навряд чи піде хтось із виробників.
Як проміжний захисний засіб доктор Мернежад і її колеги пропонують користувачам частіше міняти паролі і PIN’и, щоб шкідливі скрипти не змогли виявляти регулярні закономірності, закривати будь-які додатки, які не використовуються в даний момент, і деінсталювати ті з них, які перестали бути потрібними , регулярно оновлювати ПО на мобільному пристрої, не встановлювати неперевірені програми з неофіційних магазинів, а також перевіряти всі дозволи, які мобільні додатки запитують при установці.
Джерело{:}{:ru}Компания Apple закрыла опасную уязвимость JavaScript, позволяющую веб-сайтам считывать данные с сенсоров iPhone и узнавать таким образом пароли для доступа к устройству.
Британские исследователи нашли способ с помощью JavaScript отслеживать движение пальцев пользователя — например, при разблокировке смартфонов. По утверждению исследователей, в 70% случаев их программе удавалось выяснить четырехзначный PIN с первого раза. С третьего раза программа «угадывала» код разблокировки уже в 94% случаев.
Исследователи вопросов безопасности из университета Ньюкасла в Великобритании опубликовали работу в издании Journal of Infermation Security, в которой описали возможность отслеживать пользовательские жесты на смартфонах. Для этого потребуется лишь небольшой веб-сервис на JavaScript, который эксплуатирует программные интерфейсы (API) сенсоров движения устройства.
По утверждению авторов исследования, это приложение может собрать достаточно информации с сенсоров, чтобы в 70% случаев выяснить комбинацию разблокировки с первой попытки. С третьей попытки скрипт PINlogger.js «угадывает» PIN в 94% случаев.
«Большая часть смартфонов, планшетов и других носимых устройств сегодня оснащены множеством сенсоров, в диапазоне от общеизвестных GPS-модулей, камер и микрофонов до гироскопов, сенсоров дальности и вращения, акселерометров, а также NFC-модулей. Поскольку мобильные приложения и вебсайты не нуждаются в специальных разрешениях на доступ к большинству из них, вредоносные программы могут тайно шпионить за потоками данных с ваших сенсоров и использовать их для получения широкого диапазона важных сведений о вас, в том числе, о продолжительности звонков, физической активности и даже… о PIN и паролях», — говорится в публикации исследователей.
Как отметила в пресс-релизе руководитель исследовательской группы доктор Мариам Мернежад, ее коллегам удалось выяснить, что в нескольких мобильных браузерах вредоносный код, встроенный в одну страницу, может следить за всеми действиями пользователя на всех остальных вкладках. То есть, например, если в одной вкладке открыт ресурс, содержащий вредоносный скрипт, а в другой — страница авторизации банка, то скрипт все равно может перехватывать введенные пользователем данные. Иногда предотвратить это поможет закрытие «вредоносной» вкладки, иногда — только закрытие браузера целиком.
На сегодняшний день смартфоны оснащаются в среднем 25 разными сенсорами. Веб-сайты и сторонние приложения запрашивают у пользователя разрешение на использование лишь небольшой части этих сенсоров — камеры, микрофона, GPS и некоторых других. Остальные сенсоры используются в фоновом режиме без ведома пользователей.
При этом каждое прикосновение пальцев пользователя к сенсорной панели на дисплее устройства регистрируется как уникальный поток данных, включающий информацию об ориентации и движении устройства в пространстве.
«Это как собирать мозаику — чем больше фрагментов собраны вместе, тем лучше видна общая картина», — отметил соавтор исследования, доктор Сиамак Шахандашти (Siamak Shahandashti). — В зависимости от того, как мы набираем текст на смартфоне — держа его в одной руке и используя только большой палец той же руки или пальцы другой; от того, просто ли прикасаетесь к экрану или проводите по нему пальцем, устройство будет наклоняться в ту или иную сторону, и постепенно становится очень просто заметить закономерности его движения, связанные с регулярными «сигнатурами прикосновения»».
По словам Шахандашти, различные сенсоры могут предоставить в общей сложности множество разных сведений о поведении пользователей, в том числе для того, чтобы вычислить их пароли.
Исследователи уведомили о проблеме Apple и других производителей мобильных браузеров. В iOS 9.3 компания внедрила решение для защиты от данной уязвимости. Известно, что Mozilla также представила частичное решение, которое помогает в некоторых случаях.
Существует радикальный способ — отказаться от сенсоров в смартфонах вовсе или заставить все сайты и мобильные приложения запрашивать разрешение на доступ к каждому из них. Но на это вряд ли пойдет кто-либо из производителей.
В качестве промежуточной защитной меры доктор Мернежад и ее коллеги предлагают пользователям почаще менять пароли и PIN’ы, чтобы вредоносные скрипты не смогли выявлять регулярные закономерности, закрывать любые приложения, которые не используются в данный момент, и деинсталлировать те из них, которые перестали быть нужными, регулярно обновлять ПО на мобильном устройстве, не устанавливать непроверенные приложения из неофициальных магазинов, а также проверять все разрешения, которые мобильные приложения запрашивают при установке.
Джерело{:}
