Dikkat et! Bilgisayar korsanları, PIN'inizi kırmak için akıllı telefon sensörlerini kullanacak
Kılavuz
Son zamanlarda, Singapur'daki Nanyang Teknoloji Üniversitesi'nden (NTU Singapur) araştırmacılar, ivmeölçerler, jiroskoplar ve yakınlık sensörleri gibi akıllı telefonlardaki cihazların potansiyel güvenlik tehlikelerine sahip olduğunu belirtti. Araştırmacılar, cep telefonu sensörlerinin sağladığı bilgileri kullanarak% 99,5 başarı oranıyla cep telefonunun PIN kodunu doğru tahmin edebiliyor.
arka fon
Günümüzde Nesnelerin İnterneti ve akıllı donanım teknolojileri hızla büyüyor ve akıllı telefonlar, akıllı ayakkabılar, akıllı saatler gibi her türlü akıllı cihaz günlük hayatımıza girdi. Bununla birlikte, akıllı cihazların güvenliği ve mahremiyeti de hayatın her kesiminden ilgi odağı haline geldi ve kullanıcıların en çok endişe duyduğu konulardan biri haline geldi.
Günümüzde, bilgisayar korsanlığı yöntemleri giderek daha çeşitli hale geliyor. Yazar, daha önce hacker saldırılarıyla ilgili birkaç teknik durumu da tanıttı, örneğin:
-
Amerika Birleşik Devletleri Washington Üniversitesi'ndeki araştırmacılar tarafından geliştirilen "CovertBand" teknolojisi, bir mikrofon ve hoparlör içeren bir akıllı cihazı (akıllı telefon) yazılım kodu aracılığıyla duvarlardan, kapılardan ve pencerelerden geçerek bir izleme aracına (aktif sonar sistemi) dönüştürebilir. , Birden fazla kullanıcının konumunu ve fiziksel aktivitesini izleyin ve doğrusal ve ritmik aktiviteler çıkarsayın.
(Resim kaynağı: Washington Üniversitesi)
-
Amerika Birleşik Devletleri'ndeki Michigan Üniversitesi tarafından yapılan bir araştırma, hızlanma sensörüne saldırmak için ses dalgalarını başarıyla kullandı ve akıllı telefonlara ve akıllı giyilebilir Fitbit bileziklere başarıyla hacklendi.
(Resim kaynağı: Michigan Üniversitesi)
Ancak, bugün tanıtacağımız durumla bazı benzerlikleri olduğundan, bugün "PIN ve şifre kırma" saldırısına odaklanmak istiyorum.
Binghamton Üniversitesi ve Stevens Teknoloji Enstitüsü'ndeki bilim adamları, akıllı saatler ve fitness izleyicileri gibi giyilebilir cihazlardaki gömülü sensörlerden veri toplar ve ardından kişisel PIN kodlarını ve şifreleri kırmak için bilgisayar algoritmalarını kullanır. Bir denemede, çatlama doğruluğu% 80'e ulaşabilir ve üç kattan fazla, çatlama doğruluğu% 90'a ulaşabilir.
Araştırmacılar 11 ayda 20 yetişkinin çeşitli giyilebilir cihazları takması için organize etti ve ATM makineleri gibi üç anahtar güvenlik sistemine dayanarak 5.000 şifreli giriş testi yaptılar. Ekip, kullanıcının el duruşundan bağımsız olarak, milimetre düzeyinde ince el hareketi bilgilerini kaydedebilir. Bu bilgiler, ivmeölçerler, jiroskoplar ve manyetometreler gibi giyilebilir cihazların içindeki sensörlerden gelir. Bu ölçümler sayesinde ardışık tuşların mesafesi ve yönü değerlendirilebilir ve ardından ekip tarafından geliştirilen "ters PIN dizisi türetme algoritması" kodu yüksek doğrulukla kırmak için kullanılabilir.
Yenilikçilik
Yukarıda bahsedilen "PIN kodları ve şifreleri kırma" vakasına benzer şekilde, Nanyang Teknoloji Üniversitesi'nden (NTU Singapur) araştırmacılar yakın zamanda akıllı telefonlardaki ivmeölçerler, jiroskoplar ve yakınlık sensörleri gibi cihazların potansiyel güvenlik açıklarına sahip olduğunu belirtti. 6 Aralık'ta araştırma sonuçlarını açık erişimli "Cryptology ePrint Archive" dergisinde yayınladılar.
(Resim kaynağı: NTU)
teknoloji
Araştırmacılar, en sık kullanılan 50 PIN kodundan birini kullanan bir cep telefonunun kilidini açarken, akıllı telefondaki altı farklı sensörden toplanan bilgilerin, gelişmiş makine öğrenimi ve derin öğrenme algoritmalarıyla birlikte bir kombinasyonunu kullandı ve yalnızca üçten fazla denemeye ihtiyaç duymadı. % 99,5 doğruluk oranına ulaştı ve Android akıllı telefonların kilidini başarıyla açtı. En sık kullanılan 50 PIN kodu için, önceki cep telefonu kırma işleminin en iyi başarı oranı% 74'tür Ancak NTU'nun teknolojisi, dört basamaklı PIN kodlarının tüm 10.000 olası kombinasyonunu tahmin edebilir.
NTU Temasek Laboratories'in kıdemli araştırma bilimcisi Shivam Bhasin liderliğindeki araştırma ekibi, akıllı telefondaki sensörleri kullanarak kullanıcının hangi sayıyı ilettiğini, telefonun nasıl eğildiğine ve kullanıcının baş parmağı veya parmağıyla ne kadar ışık engellediğine bağlı olarak analiz ediyor.
Araştırmacılar, bu çalışmanın akıllı telefon güvenliğinin önemli bir gizli tehlikesini vurguladığına inanıyor: akıllı telefondaki sensörleri kullanarak, tüm uygulamalara kullanıcının izni olmadan açık bir şekilde erişilebiliyor.
Araştırma ekibi bir Android telefon kullandı ve özelleştirilmiş bir uygulama kurdu. Toplanan veriler altı sensörden geldi: ivmeölçer, jiroskop, manyetometre, yakınlık sensörü ve ortam ışığı sensörü.
Bhasin açıkladı: Telefonunuzu tutup PIN kodunu girdiğinizde, 1, 5 veya 9'a bastığınızda telefonun hareket etme şekli çok farklıdır. Benzer şekilde, sağ baş parmağınızla 1'e basmak 9'a basmaktan daha etkili olacaktır. , Daha fazla ışığı engelliyor. Dr. Bhasin, meslektaşları Bay David Berend ve Dr. Bernhard Jungk ile birlikte bu projede 10 ay geçirdiler.
Bununla birlikte, sınıflandırma algoritması, cep telefonlarına rastgele 70 adet dört haneli numara giren üç kişiden toplanan veriler üzerine eğitildi. Aynı zamanda ilgili sensör yanıtını kaydeder.
Sınıflandırma algoritması "derin öğrenme" olarak bilinir.Her sensörün farklı buton numaralarına olan hassasiyetine göre her sensöre farklı bir önem ağırlığı verilir. Bu, önemsiz faktörleri ortadan kaldırır ve PIN kodu erişiminin başarı oranını artırır. Her farklı birey cep telefonuna farklı bir güvenlik PIN kodu girse de, bilim adamları algoritmaya zamanla daha fazla kişiden veri besleyerek başarı oranının arttığını gösterdi.
Bu nedenle, kötü amaçlı bir uygulama kurulumdan sonra makine öğrenimini kullansa da, PIN kodunu hemen ve doğru tahmin edemez, ancak zamanla binlerce kullanıcıdan veri toplayabilir ve her bir cep telefonundan PIN kodunu öğrenebilir. PIN kodu moda girer ve başarı oranı çok daha yüksek olduktan sonra saldırı başlatılır.
değer
NTU Temasek Labs'ın direktörü Gan Chee Lip, bu çalışmanın görünüşte oldukça güvenli cihazların yan kanal saldırılarına da maruz kalabileceğini gösterdiğini söyledi. Kötü amaçlı uygulamalar sensör verilerinin amacını değiştirebilir, kullanıcı davranışını algılayabilir, PIN kodu ve şifre bilgilerine erişebilir ve daha fazlasını yapabilir.
Profesör Gan şunları söyledi: "Yalnızca parola sızıntısı tehdidinden endişe duymuyoruz, aynı zamanda cep telefonu sensör bilgilerine erişimi çok fazla sızdırabilecek aşırı kullanıcı davranışı konusunda endişeliyiz. Bu büyük bir gizlilik sorunu olacak ve hem bireylerin hem de şirketlerin yükseltmeleri gerekiyor. Çok dikkat."
Dr. Bhasin, bu sensörlere ihtiyaç duyan güvenilir uygulamalara erişim sağlamayı aktif olarak seçebilmek için cep telefonu işletim sisteminin gelecekte bu altı sensöre erişimi kısıtlamasına yardımcı olduğunu söyledi.
Dr. Bhasin, mobil cihazların güvenliğini sağlamak için, kullanıcıların diğer kimlik doğrulama yöntemleriyle (örneğin: tek seferlik parola, iki faktörlü kimlik doğrulama, parmak izi veya yüz tanıma) birlikte dört basamaktan fazla bir PIN ayarlamasını önerir.
Anahtar kelime
Güvenlik, Nesnelerin İnterneti, Makine Öğrenimi, Bilgisayar Korsanlığı
Referans
[1]
[2] David Berend, Bernhard Jungk ve Shivam Bhasin. Tek ve Çapraz Kullanıcı Ayarı Altında Akıllı Telefon Sensör Füzyonunu Kullanan PIN'iniz Var . Cryptology ePrint Arşivi, 2017
Daha ileri teknolojiler ve yenilikçi ürünler için lütfen WeChat herkese açık hesabını takip edin: IntelligentThings veya yazarın kişisel WeChat ile iletişime geçin: JohnZh1984
