بيت Securitywatch Rsac: هل يشاهد شخص ما في كل مرة تلمس فيها هاتفك الذكي؟

Rsac: هل يشاهد شخص ما في كل مرة تلمس فيها هاتفك الذكي؟

فيديو: بنتنا يا بنتنا (شهر نوفمبر 2024)

فيديو: بنتنا يا بنتنا (شهر نوفمبر 2024)
Anonim

Keyloggers هي برامج صغيرة سيئة موجودة على جهاز الكمبيوتر الخاص بك وتسجيل بجد كل ضغطة مفتاح. إذا كنت تريد سرقة كلمات المرور المصرفية الخاصة بشخص ما ، فإن أداة تسجيل الدخول هي أداة مثالية. أثناء تقديمه في RSAC 2014 ، أوضح ناثان مكولي ، مدير هندسة الأمن في سكوير ، والمستشار الأول للأمن في Trustwave نيل هندوتشا ، أن القيام بالشيء نفسه على هاتف ذكي يعمل باللمس ليس بالأمر الصعب على الإطلاق.

العثور على الأصابع

أفضل طريقة لاعتراض معلومات اللمس على نظام iOS هي من خلال "طريقة التحايل". وقال مكولي إن هذا "يشبه هجوم الرجل في الوسط لإجراء مكالمات طريقة داخل نظام التشغيل." أوضح ماكاولي أنه إذا كنت تعرف أن هناك طريقة معينة سيتم استدعاؤها ، يمكنك إدراج مكتبة تعترض الحدث وتسجيله قبل تمرير الحدث بالطريقة المعتادة. النتيجة العملية هي أنه يمكنك الحصول على جميع أنواع المعلومات - حتى لقطات الشاشة - دون التأثير على أداء الهاتف.

عادةً ما يتطلب ذلك أن يتم كسر هاتف iPhone أولاً. ومع ذلك ، أقر مقدمو العروض بالبحث الذي أجرته FireEye في وقت سابق من الأسبوع والذي أظهر أن هذا لم يكن بالضرورة هو الحال. حتى يتم تحديث Apple لنظام التشغيل iOS ، يمكن مراقبة المستخدمين حتى لو لم يتم كسر أجهزتهم.

على أجهزة أندرويد ذات الجذور ، أصبح الأمر أسهل. استخدم Hindocha أداة "getevent" ، التي توجد على جميع أجهزة Android ، لتسجيل إحداثيات X و Y لكل لمسة. يمكنه أيضًا استخدام getevent لتسجيل حركات الضرب وعند الضغط على أزرار الأجهزة.

بالنسبة إلى أجهزة Android التي ليست جذرًا ، ومعظمها ، لا يزال بإمكانك استخدام getevent. للقيام بذلك ، يحتاج الهاتف إلى تمكين تصحيح أخطاء USB وأن يكون متصلاً بجهاز كمبيوتر. باستخدام Android Debugging Bridge ، تمكنت Hindocha من الحصول على الحقوق المرتفعة المطلوبة لتشغيل getevent.

بالطبع ، لا تعمل أجهزة Android في وضع تصحيح الأخطاء بشكل افتراضي (ونحن نوصي بشدة بعدم تنشيطه). أيضا ، الوصول المادي إلى جهاز كبير يحد من فعالية هذا الهجوم. ومع ذلك ، أثبت Hindocha أنه من الممكن نظريًا استخدام مزيج من خلفيات حية ضارة - والتي لا تتطلب أذونات خاصة لعرض بيانات اللمس - وتراكب التطبيقات لاعتراض معلومات اللمس على الأجهزة غير الجذر.

لقد حصلت على اللمس

بمجرد معرفة كيفية الحصول على بيانات اللمس ، اضطر الباحثون إلى معرفة ما يجب فعله بها. في البداية ، افترضوا أنه سيكون من الضروري التقاط لقطات من الشاشة لتعيين معلومات اللمس إلى شيء مفيد. لكن هندوتشا قال إن الأمر لم يكن كذلك. وقال "مع تقدمنا ​​، أدركت أنه يمكنني بسهولة معرفة ما كان يحدث بمجرد النظر إلى النقاط".

كانت الحيلة تبحث عن أدلة معينة للإشارة إلى نوع المدخلات التي كانت تجري. قد تكون "الطيور الغاضبة" هي الحركات الخاصة للسحب والتنصت ، بينما من المحتمل أن تكون أربعة صنابير ثم الخامسة على الجانب الأيمن السفلي من الشاشة عبارة عن رمز PIN. قال هندوتشا إنهم كانوا قادرين على معرفة وقت كتابة رسائل البريد الإلكتروني أو الرسائل النصية لأن المنطقة التي يوجد بها مفتاح مسافة للخلف تم ضربها بشكل متكرر. "الناس يرتكبون الكثير من الأخطاء عندما يكتبون رسائل البريد الإلكتروني" ، أوضح.

البقاء آمنة

لاحظ الباحثون أن هذه مجرد طريقة واحدة لالتقاط ما تم كتابته في الهاتف الذكي. على سبيل المثال ، يمكن أن تسرق لوحات المفاتيح الضارة كلمات المرور المصرفية الخاصة بك بسهولة.

يجب أن يتجنب مستخدمو iOS المهتمون بلمس المدونات كسر أجهزةهم ، رغم أن بحث FireEye يشير إلى أن هذا غير كافٍ. لحسن الحظ ، كما قال مكولي ، فإن عملية التحايل السريع سهلة إلى حد ما بالنسبة لمديري الأجهزة الأذكياء لاكتشافها.

بالنسبة إلى Android ، فإن المشكلة أكثر خطورة بعض الشيء. مرة أخرى ، فإن فتح جهاز ما يفتح أمامك للهجوم. أيضًا ، يتيح تمكين وضع تصحيح الأخطاء للمهاجمين الدخول إلى جهازك. هذه عادة لا تكون موجودة في هواتف أندرويد الأسهم ، على الرغم من أن McCauley قدم استثناءً مهمًا. وقال إنه خلال بحثهم ، اكتشفوا أن الهواتف التي يتم شحنها من شركة مصنعة لم يتم تحديد اسمها تم تكوينها بطريقة تسمح للمهاجمين بالوصول إلى getevent.

على الرغم من أن أبحاثهم لها تطبيقات عملية ، إلا أنها لا تزال نظرية إلى حد كبير. لدينا الصنابير والضربات الشديدة آمنة ، على الأقل حتى الآن.

Rsac: هل يشاهد شخص ما في كل مرة تلمس فيها هاتفك الذكي؟