O metodzie przechwytywania wrażliwych danych zwaną MoLe (Motion Leaks) zrobiło się głośniej 3-4 miesiące temu, kiedy opublikowano obszerny raport pt. "MoLe: Motion Leaks through Smartwatch Sensors" opracowany przez zespół naukowców z Uniwersytetu Illinois. Metoda ta polega najogólniej mówiąc na przechwytywaniu danych z sensorów (akcelerometru i żyroskopu) wbudowanych w urządzenia przenośne typu smartwach czy fitness-monitor.
Krótki opis tej metody za Niebezpiecznikiem
Poniższy obrazek pokazuje mechanizm MoLe
Natomiast ten poniżej pokazuje skuteczność w % prawidłowych odczytów poszczególnych klawiszy (na podstawie oryginalnego raportu)
Całe opracowanie
Krótki opis tej metody za Niebezpiecznikiem
Cytat:Badacze zwracają uwagę, że podobne ataki można przeprowadzać na podstawie analizy odczytów opasek fitness — one także mają żyroskopy i akcelerometry, dzięki czemu można wymodelować trójwymiarowe ułożenie ręki właściciela opaski i na tej podstawie wywnioskować jakie klawisze naciska np. na pinpadzie bankomatu.
Tego typu ataki side channelowe to nie nowość. Tę technikę przewidywania naciskanych klawiszy opisywaliśmy już na przykładzie odczytów z akcelerometru smartphona. Na szczęście do ich przeprowadzenia potrzebny jest dostęp do urządzenia (smartphonu lub smartwatcha lub innej “sportowej bransoletki”) na której składowane są logi z akcelerometru. Niestety, w przypadku smartphonów aplikacje nie muszą prosić o pozwolenie na korzystanie z akcelerometru…
Na wszelki wypadek, nie wpisujcie PIN-ów w sklepowych terminalach i przy bankomatach ręką na której macie założony fitness tracker
[Aby zobaczyć linki, zarejestruj się tutaj]
Poniższy obrazek pokazuje mechanizm MoLe
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Natomiast ten poniżej pokazuje skuteczność w % prawidłowych odczytów poszczególnych klawiszy (na podstawie oryginalnego raportu)
[Aby zobaczyć linki, zarejestruj się tutaj]
Całe opracowanie
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"