Czasami ludzie zajmujący się bezpieczeństwem, zarówno ci dobrzy, jak i ci źli, naprawdę zaskakują mnie swoja pomysłowością. Jednym z pomysłów który wydaje się genialny w swojej prostocie, jest wykorzystanie akcelerometru umieszczonego w telefonie do przechwytywania informacji które klawisze zostały wciśnięte. Nowatorskie podejście pozwoliło stworzyć keyloggera pozwalającego obejść większość zabezpieczeń.
Czemu akurat akcelerometr ma służyć do przechwytywania wciśniętych klawiszy? Głównie dlatego, że ze względów bezpieczeństwa dostęp aplikacji uruchamianych na telefonie do klawiatury jest mocno ograniczony i napisanie programu przechwytującego wciśnięte klawisze jest trudniejsze, niż w przypadku komputerów i standardowych systemów operacyjnych. Akcelerometr natomiast nie jest w żaden sposób chroniony, każda aplikacja ma do niego dostęp w każdym momencie. Żeby wykorzystać go do przechwytywania wciśniętych klawiszy nie trzeba łamać żadnych zabezpieczeń, wystarczy sama pomysłowość.
Wciskanie klawiszy klawiatury numerycznej na ekranie telefonu generuje określone siły i przechylenia telefonu, które rejestruje właśnie akcelerometr. Wystarczy napisać oprogramowanie, które będzie potrafiło tą drobną niestabilność telefonu trzymanego w ręku wykorzystać, właściwie interpretując dane.
Niebezpiecznik podał informację, że dwóm naukowcom udało się stworzyć program, który potrafi rozpoznać który klawisz na ekranie telefonu został stuknięty z prawdopodobieństwem 71,5%. Oczywiście pomiar dotyczy klawiatury numerycznej i jest różny w zależności od modelu telefonu i sposobu w jaki wyświetla on klawiaturę na ekranie.
Niebezpiecznik sugeruje również dowcipny sposób na zabezpieczenie się przeciwko takiemu atakowi:
My oczami wyobraźni już widzimy komunikaty smartphonowych aplikacji przy okienkach logowania: “aby bezpiecznie wpisać swoje hasło, skacz, kręć się, rób fikołki” ;)
Szersze opracowanie metody przechwytywania wciśniętych klawiszy przy pomocy akcelerometru można znaleźć w tym dokumencie PDF.
Jak wiele nieodkrytych sposobów na obejście zabezpieczeń jeszcze istnieje? Nikt do końca nie wie. Najgorsze jest złudne poczucie bezpieczeństwa. Obecnie niemal każdy smartfon posiada akcelerometr, do tego grona należy włączyć jeszcze tablety oraz, już niedługo, laptopy. Biorąc pod uwagę ile wykrywanych jest tradycyjnych luk w oprogramowaniu, sumując to z nowymi sposobami na obejście wszelkich zabezpieczeń, powstaje naprawdę nieciekawy obraz sytuacji. Wystarczy poczytać doniesienia jak poczynają sobie Anonimowi. Naprawdę nie ma miejsca, gdzie zaawansowana elektronika może czuć się bezpiecznie, ani tym bardziej jej właściciel.
Im bardziej skomplikowane urządzenie, tym więcej sposobów, żeby się do niego dobrać wbrew woli projektantów i użytkowników.