iOS Android でWebページがiPhoneセンサーを使ってパスコードを検出する脆弱問題

0
369

昨年、英国のサイバー研究者が悪意のあるWebページがiPhoneセンサーを使ってパスコードを検出する可能性があることを明らかにした後、AppleはiOSにパッチを当てた。このテクニックは非常に正確で、チームは5回の試行で4桁のPINを処理する際に100%の成功率を達成したとEngadgetは報告しています。

あなたの携帯電話の動きはランダムだと思うかもしれませんが、明らかに明確なパターンを作り出しています。彼らのテストでは、第5の推測で使用したPINの100%と時間の70%の最初の推測で4桁のPINを解読できました。

モバイルアプリケーションとウェブサイトが無断でセンサーデータにアクセスできるようになったため、攻撃のベクトルが可能になったと、研究の筆頭著者Dr Maryam Mehrnezhadが説明しました。

 

モバイルアプリやウェブサイトは大部分にアクセスする許可を求める必要がないため、悪意のあるプログラムはセンサーデータを隠密的に「聴く」ことができ、それを使って電話に関するタイミングや物理的な情報アクティビティ、さらにはタッチアクション、暗証番号、およびパスワードを入力します。

さらに心配しているブラウザによっては、携帯電話やタブレットでこれらの悪質なコードの1つをホストしているページを開いて、以前のタブを閉じずにオンラインバンキングアカウントなどを開くと、あなたが入力する個人的な詳細が盗まれる可能性があります。

ニューラルネットワークを使用して、モーションセンサデータとタップされたPINとの間の相関関係を特定し、ブラウザーJavascriptエクスプロイトを使用してマルウェアを実行した。

チームは、チームが調査結果を会社に提示した後、不正なセンサデータの収集を防ぐためのパッチをAppleが発行したと報告している。修正はiOS 9.3の一部でした。

Googleはそれが問題を認識していると言いましたが、修正はまだありません。