I když už máme různě pokročilé druhy přesunu peněz, pro přežívající hotovost musíme stále do banky nebo do bankomatu. A pokud chceme kartou platit větší částku, pin je obvykle rovněž potřeba.
Když vám zloděj kartu ukradne, nemůže nic vybrat ani zaplatit, alespoň pokud jste si ho na lísteček nenapsali přímo ke kartě. Pin tak sice máte uložený ve vlastní paměti, což je zatím bezpečné místo, ale musíte ho jednou za čas někde zadat do terminálu. A to je bezpečnostní problém.
Chytrý slídil na ruce
V novém výzkumu institutu SIT (Stevens Institute of Technology) pod vedením Yingying Chena se vědci zaměřili na možnost rekonstrukce dat z pohybů, které zaznamenává akcelerometr, gyroskop nebo magnetometr na chytrých hodinkách či náramcích.
Prodeje těchto chytrých nositelností velmi rychle rostou, obzvláště ve sportovním segmentu a s tím jak klesá i jejich cena, může si je dovolit více a více lidí. Z pohledu prodejů se tak očekává, že půjde do budoucna o podobně velký trh, jako třeba u mobilních telefonů.
Moderní generace už je schopná snímat prostorový pohyb s rozlišením v rámci jednotek milimetrů a to znamená i vysokou přesnost pro získání informací, která rozhodně nechcete někomu dávat – například pin ke kartě.
Specifické pohyby
Vědci ve spolupráci s 20 dobrovolníky zkoumali možnost získání informace o pinu z pouhých dat ze senzorů náramku a hodinek. K testování použili celkem tři různé druhy numerických klávesnic – dvě z bankomatů a jednu klasickou počítačovou, jakou každý zná z klávesnice.
Testovaná zařízení a klávesnice
Pro snímání pohybu ruky měli vědci tři zařízení –hodinky LG W150, Moto 360 a vytvořený konfigurovatelný prototyp na desce, který sloužil k simulaci dalších typů s rozdílnou snímací frekvencí. Chytré hodinky používaly Android Wear a spojení Bluetooth LE.
Jednotliví dobrovolníci nejdříve zadali pět tisíc pinů na všechny klávesnice, zatímco docházelo k odposlouchávání paketů z propojeného přenosu Bluetooth LE. Dle informací je ale pochopitelně možné získávání dat řešit i pomocí malwaru v samotném zařízení.
Vědci vytvořili pokročilé algoritmy, pomocí kterých zjistí pin z pohybu ruky i při stisku klávesy
Vzhledem k tomu, že piny jsou většinou velmi krátké, lze s trochou matematiky a správných algoritmů získat vše potřebné k tomu, aby bylo příště možné z dat pohybu ruky při zadávání pinu zjistit, o jaký pin se vlastně jedná.
Úspěšnost až 99 % i bez strojového učení
Z finálních dat byli překvapení i samotní vědci. Podařilo se totiž dosáhnout rekonstrukce správného pinu na první pokus v 80 % případů, na třetí pokus u 90 % zadávaných „tajných“ pinů. V případě pěti pokusů je systém schopný uhodnout pin na 99 %. Oproti jiným systémů je hlavní výhodou absence použití strojového učení a není nutný žádný trénink s konkrétní osobou.
Kompletní framework od sběru dat ze zařízení až po zjištění pinu
V současnosti jde možná jen o výzkum, realizace ale není tak náročná, jak se může zdát a útočníci mají mnohdy ještě pokročilejší nástroje. Podobně jako jinde i zde se tak navrhuje určitá forma zabezpečení dat tak, aby z nich nebylo možné tak přesná data rekonstruovat. Typickým uváděným příkladem je nějaký šum a podobně, který je přidán do dat. Výzkum rovněž upozorňuje na nutnost většího zabezpečení přenosu proti odposlouchávání. Ale to by mohlo znamenat vyšší spotřebu.
Uvidíme, jak se bezpečnost kolem nositelností vyvine, protože stejně jako v minulostí, téměř jakákoli soukromá data každého z nás lze potenciálně využít proti nám. Nyní k tomu přibude i pohyb ruky.
Oficiální materiál k výzkumu v PDF (2,3 MB)