Перейти к основному содержанию
437 просмотров

Хакеры могут вычислить пароль, подслушав прикосновения к экрану

Система также способна угадывать отдельные буквы и даже целые слова

Фото: shutterstock

Группа ученых Кембриджского (Великобритания) и Линчёпингского (Швеция) университетов рассказала о новой технике взлома, которая позволяет с очень высокой точностью угадать пароль, защищающий смартфоны и планшеты. Суть «акустической» атаки заключается в том, чтобы подслушать звук прикосновения пальцев к сенсорному экрану.

На одном тесте система угадывала четырехзначный PIN-код в 74% случаях после десяти попыток, пишет Business Insider. В другом — для паролей, состоящих из 7–13 символов, — точность составила 30% после 20 попыток. Помимо цифр, система способна угадывать отдельные буквы и даже целые слова.

Аналогичным образом исследователи ранее взламывали устройства, защищенные графическим узором. Сначала на целевой смартфон устанавливается шпионское приложение, имеющее доступ к микрофонам и динамику, что превращает его в эхолокатор. Похожие системы обнаружения используются, например, на подлодках, позволяя им знать о приближении судов и других объектов под поверхностью воды.

Далее, когда жертва вводит пароль, программа улавливает неслышимые человеческим ухом звуковые волны, которые возникают при ударе пальцев по экрану. Затем в дело вступают алгоритмы машинного обучения: определяя, какой из микрофонов первым услышал звук, — а это может произойти за долю секунды — система пробует угадать, до какой именно части дисплея мог дотронуться пользователь.

С работой ученых можно ознакомиться на сайте научного архива arXiv.org.

262 просмотра

Как не попасться на удочку «приложений–грабителей»

Рассказывает управляющий директор «Лаборатории Касперского» в Казахстане, Центральной Азии и Монголии

Фото: Kaspersky

Помните, как герой «Криминального чтива» Винсент Вега захотел попробовать молочный коктейль просто потому, что тот стоил целых пять долларов? Многие автоматически ассоциируют высокую цену с качеством, а если дорогой продукт можно попробовать бесплатно, заинтересуются даже те, кто не планирует его покупать. И некоторые недобросовестные разработчики приложений для смартфонов этим пользуются.

Fleeceware: пробный период и платная подписка

В конце сентября наши исследователи обнаружили в Google Play набор калькуляторов, сканеров QR-кодов, улучшателей фотографий и других программ с простейшими функциями, которые разработчики предлагали по подписке по явно завышенной цене – до 200 евро в месяц. В общей сложности эти приложения скачали десятки миллионов человек. 

Пользователям обещали три дня пробного периода. Убедившись, что ничего особенного подписка на такие приложения не дает, многие их удалили. Однако, несмотря на это, с пользователей списывали деньги на регулярной основе. Как же так получилось? Во-первых, жертвы предоставили приложениям платежные реквизиты при первом запуске, иначе те отказывались работать. В результате создатели жадных программ получили возможность списывать средства без согласия пользователя.

Во-вторых, удаление приложения с устройства не означает отказ от подписки. В этом есть смысл: так вы не потеряете, например, свои плейлисты в стриминговой программе, если удалите ее по ошибке, вернете устройство к заводскому состоянию или решите воспользоваться приложением на новом телефоне. Однако многие про этот нюанс просто не знают. И даже те, кто в курсе, что подписки нужно отменять, иногда забывают это сделать, чем и пользуются создатели fleeceware.

Формально fleeceware – это не зловреды

Вы спросите, почему такие приложения вообще пропустили в Google Play? Увы, формально дорогостоящие калькуляторы и «золотые» QR-сканеры соответствуют требованиям магазина. Заявленные функции они выполняют, лишних разрешений не запрашивают, не содержат вредоносного кода. Что касается цены за подписку, то детальных правил, которые бы ее ограничивали, в Google Play в данный момент нет.
Тем не менее после того, как информация о жадных приложениях дошла до Google, 14 из 15 программ удалили из Google Play, и практически сразу же исследователи обнаружили еще девять. В действительности же подобных программ в магазинах приложений, скорее всего, гораздо больше.

Fleeceware – новое имя, старый прием

Поскольку назвать такие приложения зловредами нельзя, их выделили в отдельный класс угроз – fleeceware (от английского fleece – обирать). 

Разработчики программ типа fleeceware не обошли вниманием и iOS. Например, в 2017 году из AppStore удалили приложение Mobile Protection: Clean & Security VPN. Его загрузили 50 тыс. пользователей и по меньшей мере 200 человек решили попробовать VPN по подписке, купившись на бесплатные три дня. Любопытство обошлось каждому из них в $400 в месяц.

Остальные функции программы были доступны без подписки, однако особого смысла в них не было. Например, приложение очищало телефон – но не от временных файлов и неиспользуемых программ, а… от дублирующихся контактов.

Еще один пример – сканер QR-кодов для iOS. При запуске приложение требовало указать платежную информацию для подписки на бесплатный пробный период, а через три дня начинало списывать по $3,99 в неделю.

Как защититься от fleeceware

Разработчики fleeceware-приложений эксплуатируют человеческие любопытство, тягу к халяве, невнимательность и нежелание вникать в условия подписки. Чтобы не попасться на их уловку, с подозрением относитесь ко всему, что выглядит необычно.

•    Не скачивайте приложения, предлагающие примитивные функции втридорога или по подписке. Скорее всего, ничего эксклюзивного, кроме цены, в них нет.

•    Прежде чем установить программу, поищите отзывы о ней и ее разработчике. С большой вероятностью в Сети можно найти информацию об обмане.

•    Если вы подписались на бесплатный пробный период и не планируете оплачивать приложение в дальнейшем, обязательно отменяйте подписку. Сделать это можно в разделе управления подписками вашего аккаунта на Google Play, если у вас Android, или в iTunes, если у вас iPhone или iPad.

Биржевой навигатор от Freedom Finance

Читайте нас в TELEGRAM | https://t.me/kursivkz

 

Спецпроекты

Биржевой навигатор от Freedom Finance