Хакерам не обязательно проводить массивные кибератаки, чтобы захватить контроль над девайсом. Они могут просто «подслушать» пароль к нему во время ввода пользователем, говорят ученые Университета Кембриджа и Университета Линчепинга. Они экспериментально показали, что PIN-код можно определить по звуковым волнам, которые генерируют пальцы во время касания сенсорного экрана.
Для шпионажа по паролю хватит приложения, которое будет использовать микрофон и расшифровывать запись. Такая атака способна не только распознавать PIN-коды, но и определяет буквы и слова.
Такое вредоносное приложение может легко проникнуть в телефон. Известны случаи миллионной аудитории у зараженных программ в Google Play, а также распространение вредоносных программ с завода производителя смартфона. При этом, говорят исследователи, запросы ОС о разрешении на пользование своими элементами пользователи часто игнорируют и слепо позволяют все запросы.
В эксперименте ученые использовали нейросеть, которая определяла вибрации от отдельных нажатий на экран. Эксперимент проводили на двух смарфтонах LG Nexus 5 и планшете Nexus 9. Участники исследования вводили пароли в трех разных местах на территории университета, где были разные уровни шума: общая аудитория с кофейным автоматом, читальный зал с компьютерами и библиотека.
Среди тестовой группы в 45 человек в течение нескольких тестов система верно распознавала пароли 7 из 27 раз, используя на это 10 попыток. На планшетах результаты были значительно лучше — 19 из 27 раз в течение 10 попыток.
Исследователи говорят, что защитой от таких атаки может быть выключатель микрофона, который контролирует пользователь. Также можно оснастить микрофон индикатором активности. Это может быть как специальный светодиод, который загорается при записи звука, так и иконка на экране.