5
Fotogalerie

Chytré náramky a hodinky dokážou prozradit pin k vaší kartě

  • Stále detailnější snímání pohybu ruky umožní narušit bezpečnost starších systémů
  • Vědci ověřili, že lze získat pin pouze z dat chytrých hodinek nebo náramku
  • Přesnost odhalení bylo až překvapivých 99 %

I když už máme různě pokročilé druhy přesunu peněz, pro přežívající hotovost musíme stále do banky nebo do bankomatu. A pokud chceme kartou platit větší částku, pin je obvykle rovněž potřeba.

Když vám zloděj kartu ukradne, nemůže nic vybrat ani zaplatit, alespoň pokud jste si ho na lísteček nenapsali přímo ke kartě. Pin tak sice máte uložený ve vlastní paměti, což je zatím bezpečné místo, ale musíte ho jednou za čas někde zadat do terminálu. A to je bezpečnostní problém.

Chytrý slídil na ruce

V novém výzkumu institutu SIT (Stevens Institute of Technology) pod vedením Yingying Chena se vědci zaměřili na možnost rekonstrukce dat z pohybů, které zaznamenává akcelerometr, gyroskop nebo magnetometr na chytrých hodinkách či náramcích.

Prodeje těchto chytrých nositelností velmi rychle rostou, obzvláště ve sportovním segmentu a s tím jak klesá i jejich cena, může si je dovolit více a více lidí. Z pohledu prodejů se tak očekává, že půjde do budoucna o podobně velký trh, jako třeba u mobilních telefonů.

Apple-watch-selling-points.jpg

Moderní generace už je schopná snímat prostorový pohyb s rozlišením v rámci jednotek milimetrů a to znamená i vysokou přesnost pro získání informací, která rozhodně nechcete někomu dávat – například pin ke kartě.

Specifické pohyby

Vědci ve spolupráci s 20 dobrovolníky zkoumali možnost získání informace o pinu z pouhých dat ze senzorů náramku a hodinek. K testování použili celkem tři různé druhy numerických klávesnic – dvě z bankomatů a jednu klasickou počítačovou, jakou každý zná z klávesnice.

 2016-07-16 v 16.29.13.jpg
Testovaná zařízení a klávesnice

Pro snímání pohybu ruky měli vědci tři zařízení –hodinky LG W150, Moto 360 a vytvořený konfigurovatelný prototyp na desce, který sloužil k simulaci dalších typů s rozdílnou snímací frekvencí. Chytré hodinky používaly Android Wear a spojení Bluetooth LE.

Jednotliví dobrovolníci nejdříve zadali pět tisíc pinů na všechny klávesnice, zatímco docházelo k odposlouchávání paketů z propojeného přenosu Bluetooth LE. Dle informací je ale pochopitelně možné získávání dat řešit i pomocí malwaru v samotném zařízení.

 2016-07-16 v 16.51.50.jpg
Vědci vytvořili pokročilé algoritmy, pomocí kterých zjistí pin z pohybu ruky i při stisku klávesy

Vzhledem k tomu, že piny jsou většinou velmi krátké, lze s trochou matematiky a správných algoritmů získat vše potřebné k tomu, aby bylo příště možné z dat pohybu ruky při zadávání pinu zjistit, o jaký pin se vlastně jedná.

Úspěšnost až 99 % i bez strojového učení

Z finálních dat byli překvapení i samotní vědci. Podařilo se totiž dosáhnout rekonstrukce správného pinu na první pokus v 80 % případů, na třetí pokus u 90 % zadávaných „tajných“ pinů. V případě pěti pokusů je systém schopný uhodnout pin na 99 %. Oproti jiným systémů je hlavní výhodou absence použití strojového učení a není nutný žádný trénink s konkrétní osobou.

 2016-07-16 v 16.51.33.jpg
Kompletní framework od sběru dat ze zařízení až po zjištění pinu

V současnosti jde možná jen o výzkum, realizace ale není tak náročná, jak se může zdát a útočníci mají mnohdy ještě pokročilejší nástroje. Podobně jako jinde i zde se tak navrhuje určitá forma zabezpečení dat tak, aby z nich nebylo možné tak přesná data rekonstruovat. Typickým uváděným příkladem je nějaký šum a podobně, který je přidán do dat. Výzkum rovněž upozorňuje na nutnost většího zabezpečení přenosu proti odposlouchávání. Ale to by mohlo znamenat vyšší spotřebu.

 2016-07-16 v 16.51.03.jpg

Uvidíme, jak se bezpečnost kolem nositelností vyvine, protože stejně jako v minulostí, téměř jakákoli soukromá data každého z nás lze potenciálně využít proti nám. Nyní k tomu přibude i pohyb ruky.

Oficiální materiál k výzkumu v PDF (2,3 MB)

Určitě si přečtěte

Články odjinud