Новогодние скидки от MDLavka

Вы пишете в комментариях, что хотите купить из техники Apple и мы делаем вам индивидуальное предложение, от которого сложно отказаться!

Apple закрыла опасную уязвимость, позволяющую взломать любой iPhone

Компания Apple закрыла опасную уязвимость JavaScript, позволяющую веб-сайтам считывать данные с сенсоров iPhone и узнавать таким образом пароли для доступа к устройству.

Британские исследователи нашли способ с помощью JavaScript отслеживать движение пальцев пользователя — например, при разблокировке смартфонов. По утверждению исследователей, в 70% случаев их программе удавалось выяснить четырехзначный PIN с первого раза. С третьего раза программа «угадывала» код разблокировки уже в 94% случаев.

Исследователи вопросов безопасности из университета Ньюкасла в Великобритании опубликовали работу в издании Journal of Infermation Security, в которой описали возможность отслеживать пользовательские жесты на смартфонах. Для этого потребуется лишь небольшой веб-сервис на JavaScript, который эксплуатирует программные интерфейсы (API) сенсоров движения устройства.

По утверждению авторов исследования, это приложение может собрать достаточно информации с сенсоров, чтобы в 70% случаев выяснить комбинацию разблокировки с первой попытки. С третьей попытки скрипт PINlogger.js «угадывает» PIN в 94% случаев.

«Большая часть смартфонов, планшетов и других носимых устройств сегодня оснащены множеством сенсоров, в диапазоне от общеизвестных GPS-модулей, камер и микрофонов до гироскопов, сенсоров дальности и вращения, акселерометров, а также NFC-модулей. Поскольку мобильные приложения и вебсайты не нуждаются в специальных разрешениях на доступ к большинству из них, вредоносные программы могут тайно шпионить за потоками данных с ваших сенсоров и использовать их для получения широкого диапазона важных сведений о вас, в том числе, о продолжительности звонков, физической активности и даже… о PIN и паролях», — говорится в публикации исследователей.

Как отметила в пресс-релизе руководитель исследовательской группы доктор Мариам Мернежад, ее коллегам удалось выяснить, что в нескольких мобильных браузерах вредоносный код, встроенный в одну страницу, может следить за всеми действиями пользователя на всех остальных вкладках. То есть, например, если в одной вкладке открыт ресурс, содержащий вредоносный скрипт, а в другой — страница авторизации банка, то скрипт все равно может перехватывать введенные пользователем данные. Иногда предотвратить это поможет закрытие «вредоносной» вкладки, иногда — только закрытие браузера целиком.

На сегодняшний день смартфоны оснащаются в среднем 25 разными сенсорами. Веб-сайты и сторонние приложения запрашивают у пользователя разрешение на использование лишь небольшой части этих сенсоров — камеры, микрофона, GPS и некоторых других. Остальные сенсоры используются в фоновом режиме без ведома пользователей.

При этом каждое прикосновение пальцев пользователя к сенсорной панели на дисплее устройства регистрируется как уникальный поток данных, включающий информацию об ориентации и движении устройства в пространстве.

«Это как собирать мозаику — чем больше фрагментов собраны вместе, тем лучше видна общая картина», — отметил соавтор исследования, доктор Сиамак Шахандашти (Siamak Shahandashti). — В зависимости от того, как мы набираем текст на смартфоне — держа его в одной руке и используя только большой палец той же руки или пальцы другой; от того, просто ли прикасаетесь к экрану или проводите по нему пальцем, устройство будет наклоняться в ту или иную сторону, и постепенно становится очень просто заметить закономерности его движения, связанные с регулярными “сигнатурами прикосновения”».

По словам Шахандашти, различные сенсоры могут предоставить в общей сложности множество разных сведений о поведении пользователей, в том числе для того, чтобы вычислить их пароли.

Исследователи уведомили о проблеме Apple и других производителей мобильных браузеров. В iOS 9.3 компания внедрила решение для защиты от данной уязвимости. Известно, что Mozilla также представила частичное решение, которое помогает в некоторых случаях.

Существует радикальный способ — отказаться от сенсоров в смартфонах вовсе или заставить все сайты и мобильные приложения запрашивать разрешение на доступ к каждому из них. Но на это вряд ли пойдет кто-либо из производителей.

В качестве промежуточной защитной меры доктор Мернежад и ее коллеги предлагают пользователям почаще менять пароли и PIN’ы, чтобы вредоносные скрипты не смогли выявлять регулярные закономерности, закрывать любые приложения, которые не используются в данный момент, и деинсталлировать те из них, которые перестали быть нужными, регулярно обновлять ПО на мобильном устройстве, не устанавливать непроверенные приложения из неофициальных магазинов, а также проверять все разрешения, которые мобильные приложения запрашивают при установке.

Следите за новостями Apple в нашем Telegram-канале, а также в приложении MacDigger на iOS.

Присоединяйтесь к нам в Twitter, ВКонтакте, Facebook, Google+ или через RSS, чтобы быть в курсе последних новостей из мира Apple, Microsoft и Google.

3 комментариев

  • Ввести запросы на доступ ко всем сенсорам что нужны сайту.
  • Шума в данные акселерометра при работе в браузере добавлять и все. Ну либо ниже какого то порога данные соезать и все. Датчики стали чрезмерно чувствительные, такая чувствительность браузерным приложениям не нужна.
  • Это так технично яблоко хочет соскочить с уязвимостей которые не в силах закрыть. Типа ну мы говорили же...