В рамках конференции HotSec'11 группа энтузиастов компьютерной безопасности опровергла факт безопасного доступа мобильных приложений к акселерометру.
Акселерометр и гироскоп в мобильных устройствах используется для отслеживания движения и положения устройства относительно поверхности Земли и считается безопасным. Большинство современных мобильных устройств на платформе Android и iOS предоставляют возможность любому приложению зарегистрировать системный сервис для преобразования данных с акселерометра во внутренние данные программы. Установка такого сервиса не использует дополнительных привилегий и поэтому не требует одобрения пользователя. Кроме того, акселерометр может быть использован веб-приложениями через технологию JavaScript. Такое упущение было использовано для создания клавиатурного шпиона с целью отслеживания использования виртуальной клавиатуры мобильного устройства.
Результатом проведенного исследования стало демонстрационное приложения TouchLogger для ОС Android, позволяющее отслеживать ввод с цифровое виртуальной клавиатуры. Точность определения введенных данных составила более 70%. По заверению исследователей, на текущий момент нет ограничений для переноса продемонстрированной технологии на другую популярную мобильную платформу iOS, а определение буквенных нажатий лишь дело времени.
Источник - xakepy.cc
Горячие темы