Ένα νέο πρόγραμμα, που οι δημιουργοί του ονόμασαν PIN Skimmer, από το Πανεπιστήμιο του Cambridge, μπορεί να μαντέψει σωστά ένα υψηλό ποσοστό των PINs χρησιμοποιώντας την κάμερα και το μικρόφωνο της συσκευής. Aπό μια δοκιμασία με 50 τετραψήφιους κωδικούς, το PIN Skimmer βρήκε περισσότερο από το 30% των κωδικών PIN μετά από 2 προσπάθειες, και πάνω από το 50% των κωδικών μετά από 5 προσπάθειες σε δύο κινητά τηλέφωνα με Android, τα Nexus S της Google και Galaxy S3 της Samsung. Από ένα σύνολο 200 οκταψήφιων PINs, το πρόγραμμα των ερευνητών ανακάλυψε περίπου το 45% των κωδικών PIN μετά από 5 προσπάθειες και το 60% εξ’ αυτών μετά από 10 προσπάθειες. Η ομάδα του πανεπιστημίου αποκάλυψε, ότι το πρόγραμμα PIN Skimmer μπορούσε να εντοπίσει τους κωδικούς PIN που εισάγετε με το ψηφιακό σας πληκτρολόγιο, χρησιμοποιώντας την κάμερα και το μικρόφωνο. Το μικρόφωνο για να ακούει τον ήχο που σχηματίζεται πατώντας τα νούμερα ή καθώς κουνάτε το κινητό, και την κάμερα για να ανιχνεύει τις κινήσεις του προσώπου σας, καθώς κοιτάτε προς το κινητό την ώρα που εισάγετε το PIN στην οθόνη αφής. 

Η έρευνα πραγματοποιήθηκε για να ευαισθητοποιήσει σε σχέση με τα θέματα ασφάλειας που υπάρχουν στα smartphones, αφού στην περίπτωση που μία συσκευή μολυνθεί με κάποιο malware ή ιό, που μπορεί να κάνει κάτι τέτοιο, δηλαδή να υποκλέψει το PIN σας, ενδέχεται να εντοπίσει το PIN που χρησιμοποιείτε στις συναλλαγές σας με την τράπεζα σας ή για τις αγορές σας στο Internet κ.α.
Η ομάδα του πανεπιστημίου, στη συνέχεια έθεσε ως στόχο να ανακαλύψει πόσο αποτελεσματική θα μπορούσε να είναι μια επίθεση και κατά πόσο το μήκος του κωδικού PIN, δηλαδή ο αριθμός των ψηφίων του, θα μπορούσε να επηρεάσει τις πιθανότητες το κακόβουλο λογισμικό να ανακαλύψει τον κωδικό. Μιμούμενοι την τυπική συμπεριφορά ενός κακόβουλου λογισμικού, η λογική «stealth» αποτέλεσε την βασική αρχή του σχεδιασμού. Οι ερευνητές λοιπόν έτρεξαν αλγόριθμους επεξεργασίας εικόνας απομακρυσμένα για να ελαχιστοποιήσουν την κατανάλωση (battery drain), κάτι που θα μπορούσε να ειδοποιήσει τον χρήστη ότι κάποιο μη εξουσιοδοτημένο πρόγραμμα έτρεχε στην συσκευή του.

Ένα API εκτεθειμένο από το λειτουργικό σύστημα Android χρησιμοποιήθηκεγια να απενεργοποιήσει το LED που ανάβει σε ορισμένες συσκευές, όταν η κάμερα είναι σε χρήση. Στην συνέχεια ελήφθησαν φωτογραφίες και βίντεο από το PIN Skimmer και αποθηκεύτηκαν στο τηλέφωνο, αλλά το μέγεθος των αρχείων περιορίστηκε στα 2.5MB για να μειωθεί η πιθανότητα να ανιχτευτεί η διαδικασία. Ένα κανονικό κακόβουλο λογισμικό θα μπορούσε μάλιστα να αποκρύψει τα συγκεκριμένα αρχεία εντελώς. Ομοίως, η ερευνητική ομάδα υπέθεσε ότι η αποστολή των δεδομένων σε έναν απομακρυσμένο server θα μπορούσε επίσης να γίνει κρυφά από το χρήστη.

Οι πρόσθετες χρεώσεις δικτύου είναι ένα θέμα που συνδέεται με τη μετάδοση δεδομένων. Πολλοί χρήστες smartphone χρησιμοποιούν προγράμματα για να γνωρίζουν τις χρώσεις αλλά και για να είναι σίγουροι ότι δεν θα χρησιμοποιήσουν τα δεδομένα πέρα από κάποιο προκαθορισμένο όριο μέσα σε κάθε μηνιαία περίοδο.

Για το σκοπό αυτό, η έκθεση προτείνει ότι ένα κανονικό Trojan πιθανώς θα ξεκινούσε την μετάδοση των δεδομένων μόλις το κινητό συνδεόταν σε κάποιο δίκτυο WiFi. Οι ερευνητές ανακάλυψαν επίσης, ότι σε αντίθεση με το αναμενόμενο, ένα μεγάλου μήκους PIN ήταν ευκολότερο να σπάσει από ένα μικρότερο! Αυτό το απροσδόκητο αποτέλεσμα αποδόθηκε στο γεγονός ότι το μεγαλύτερο PIN έδωσε στο πρόγραμμα περισσότερες πληροφορίες για να εργαστεί και αυτό αύξησε την ακρίβειά του.

Ένας από τους συγγραφείς της έκθεσης, ο καθηγητής Ross Anderson έγραψε: Η εργασία μας δείχνει ότι δεν είναι αρκετό για το πρόγραμμα ηλεκτρονικού πορτοφολιού που χρησιμοποιείτε, να ασφαλίζει την οθόνη ή να κλειδώνει το επιταχυνσιόμετρο ή το γυροσκόπιο. Θα πρέπει να απενεργοποιήσετε ή να κλειδώσετε την κάμερα όταν χρησιμοποιείτε το ηλεκτρονικό πορτοφόλι σας ή όταν κάνετε συναλλαγές.

Όσον αφορά στη μείωση των κινδύνων που τίθενται από μια τέτοια επίθεση, ο καθηγητής Anderson πρότεινε ο χρήστης να απενεργοποιεί βασικά στοιχεία του κινητού του, όταν γράφει το PIN στην οθόνη του, όπως για παράδειγμα το μικρόφωνο, την κάμερα ή τα ηχεία, ωστόσο παραδέχτηκε ότι κάτι τέτοιο θα μείωνε σημαντικά την λειτουργικότητα της συσκευής.

Αντ’ αυτού, προτείνει την χρήση βιομετρικών χαρακτηριστικών, όπως την αναγνώριση προσώπου ή την χρήση αναγνώστη δαχτυλικού αποτυπώματος όταν βεβαίως αυτές οι δυνατότητες υπάρχουν στο κινητό σας.

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο εδώ.