Rsac: хтось дивиться щоразу, коли ви торкаєтесь свого смартфона?

Кейлоггери - це неприємні маленькі програми, які сидять на вашому ПК і старанно записують кожен окремий набір клавіш. Якщо ви хочете вкрасти чиїсь банківські паролі, кейлоггери - ідеальний інструмент. Представляючи RSAC 2014, менеджер з питань інженерії безпеки Натан МакКолі та старший консультант з питань безпеки Trustwave Ніл Хіндоча показали, що робити те ж саме на смартфоні з сенсорним екраном зовсім не складно.

Пошук пальців

Найкращий спосіб перехопити сенсорну інформацію на iOS - це "шипучий метод". МакКолі сказав, що це "як атака" посереднього "для викликів методів в операційній системі". Якщо ви знаєте, що існує певний метод, який буде називатися, пояснив МакКоулі, ви можете вставити бібліотеку, яка перехоплює та записує в журнал події, перш ніж передати подію як звичайну. Практичний результат полягає в тому, що ви можете захоплювати всю інформацію - навіть знімки екрана - не впливаючи на продуктивність телефону.

Як правило, для цього потрібно, щоб iPhone був попередньо збитий з в'язниці. Однак присутні визнали дослідження, опубліковані на початку тижня FireEye, що показали, що це не обов'язково. До тих пір, поки Apple не оновить iOS, користувачі можуть потенційно відслідковувати, навіть якщо їхній пристрій не працює в злому.

На вкорінених Android-пристроях це ще простіше. Hindocha використовував інструмент "getevent", який присутній на всіх пристроях Android, для реєстрації координат X і Y кожного дотику. Він також міг використовувати getevent для запису рухомих рухів і при натисканні апаратних кнопок.

Для андроїдів, які не вкорінені, а це більшість з них, ви все ще можете використовувати getevent. Для цього телефону потрібно ввімкнути налагодження USB та підключити до комп'ютера. За допомогою моста налагодження Android Hindocha змогла отримати підвищені права, необхідні для запуску getevent.

Звичайно, пристрої Android за замовчуванням не знаходяться в режимі налагодження (і ми настійно рекомендуємо ніколи його не активувати). Також фізичний доступ до пристрою значно обмежує ефективність цієї атаки. Однак Hindocha продемонстрував, що теоретично можливо використовувати комбінацію шкідливих живих шпалер, для яких не потрібно спеціальних дозволів для перегляду сенсорних даних, та накладання додатків для перехоплення дотикової інформації на не вкорінених пристроях.

Ви отримали дотик

Після того, як вони з'ясували, як отримати сенсорні дані, дослідникам довелося з'ясувати, що з цим робити. Спочатку вони припускали, що потрібно зробити знімки екрана, щоб зіставити сенсорну інформацію на щось корисне. Але Гіндоча сказав, що це не так. "Коли ми прогресували, я зрозумів, що зможу досить легко зрозуміти, що відбувається, просто переглянувши точки", - сказав він.

Трюк шукав конкретні підказки, щоб вказати, який саме вклад відбувається. Перетягування та натискання можуть бути особливо сердитими, тоді як чотири натискання, а потім п'ятий в нижній правій частині екрана, мабуть, є PIN-кодом. Хіндоча зазначив, що їм вдалося визначити, коли пишуться повідомлення електронної пошти або текстові повідомлення, оскільки область, де знаходиться клавіша зворотної області, потрапляла неодноразово. "Люди роблять багато помилок, коли пишуть електронні листи", - пояснив він.

Безпека

Дослідники відзначили, що це лише один метод зйомки того, що було набрано у смартфон. Наприклад, шкідливі клавіатури можуть так само легко вкрасти ваші банківські паролі.

Користувачі iOS, занепокоєні сенсорним журналом, повинні уникати вторгнення своїх пристроїв, хоча дослідження FireEye свідчать, що цього недостатньо. На щастя, зазначає МакКоулі, виявити химерність методів досить легко для кмітливих менеджерів пристроїв.

Для Android це питання трохи загрожує. Знову ж, коріння пристрою відкриває вас для нападу. Крім того, увімкнення режиму налагодження дає зловмисникам доступ до вашого пристрою. Зазвичай цих телефонів немає на складі Android-телефонів, хоча McCauley представляв важливе виключення. Він повідомив, що в ході своїх досліджень вони виявили, що телефони, що постачаються від неназваного виробника, були налаштовані таким чином, що могли надати зловмисникам доступ до getevent.

Хоча їх дослідження мають практичне застосування, вони все ще в основному теоретичні. Наші крани та повороти безпечні, принаймні поки що.