Сбор паролей из браузера iPhone vs. iOS

Apple обновила iOS после того, как обнаружилась уязвимость, которая позволяет веб-сайтам использовать датчики движения для вычисления паролей.

Сбор паролей из браузера iPhone vs. iOS

 

В прошлом году Apple закрыла уязвимости iOS после того, как кибер-исследователи из Великобритании продемонстрировали, что вредоносная веб-страница может использовать сенсоры iPhone для обнаружения паролей. Метод был настолько точным, что по данным Engadget в 100% случаев удавалось вычислить четырехзначный PIN-код.

Вы наверное не задумывались о том, что показания датчика движения неслучайны: колебания создают разные шаблоны, которые могут свидетельствовать, например, о физической активности владельца. Во время испытаний, исследователи смогли взломать 70% паролей с первой попытки, и в 100% случаях удалось вычислить пароль с пятой попытки.

Новый уязвимость стала возможной, поскольку мобильные приложения и веб-сайты смогли получить доступ к данным датчиков движения без разрешения пользователя.

Поскольку мобильным приложениям и веб-сайтам не нужно запрашивать разрешение на доступ к большинству из них, вредоносные программы могут скрытно «прослушивать» данные вашего сенсора и использовать его для обнаружения широкого диапазона конфиденциальной информации о вас, например, времени телефонного звонка, физической активности и даже ваши касания при наборе PIN-кодов и паролей.

Страшнее всего то, что в некоторых браузерах было обнаружено следующее: если открыть страницу на своем телефоне или планшете, на котором размещен один из этих вредоносных кодов, а затем открыть, например, учетную запись онлайн-банка, не закрывая предыдущую вкладку, то злоумышленники могли украсть ваш пароль для входа в онлайн-банк.

Нейронная сеть использовалась для определения зависимостей между данными датчика движения и набором PIN-кода, а Javascript-код браузера — для запуска вредоносного ПО.

Apple выпустила патч, чтобы предотвратить несанкционированный сбор данных с датчиков сразу после отчета об уязвимостях. Исправление было частью iOS 9.3.