Τα «έξυπνα» ρολόγια (smartwatches) και οι άλλες συσκευές, όπως όσες καταγράφουν ζωτικούς δείκτες της φυσικής κατάστασης (fitness trackers), μπορούν να προδώσουν τους προσωπικούς κωδικούς των χρηστών, όπως στα ΑΤΜ των τραπεζών.
Τη σχετική αποκάλυψη έκαναν για πρώτη φορά ερευνητές από τις ΗΠΑ, οι οποίοι, συνδυάζοντας δεδομένα από τους ενσωματωμένους αισθητήρες των συσκευών, κατάφεραν -με τη βοήθεια αλγόριθμου- να «σπάσουν» passwords και ΡΙΝ.
Οι ερευνητές πειραματίσθηκαν με 20 εθελοντές που φορούσαν διάφορες συσκευές για ένα χρόνο. Οι χάκερ της σχολής Μηχανικών του πανεπιστημίου Μπινγκχάμπτον και του Ινστιτούτου Τεχνολογίας Στίβενς, είχαν ποσοστό επιτυχίας 80% στην πρώτη προσπάθειά τους, ενώ μετά από τρεις προσπάθειες η ακρίβεια στην κλοπή των κωδικών είχε ξεπεράσει το 90%.
«Οι επιτιθέμενοι είναι δυνατό να αναπαράγουν τις κινήσεις του χεριού του χρήστη μέσω των φορετών συσκευών, και να υποκλέψουν τους μυστικούς κωδικούς για τα ΑΤΜ, τις ηλεκτρονικές κλειδαριές θυρών κ.ά.», δήλωσε ο επίκουρος καθηγητής επιστήμης των υπολογιστών Γιαν Γουάνγκ.
Η υποκλοπή θα μπορούσε να γίνει είτε με την εισαγωγή, από χάκερ, κατάλληλου κακόβουλου λογισμικού (malware) μέσα στο smartwatch για παράδειγμα, ώστε να παρακολουθεί κρυφά τις καταγραφές ενσωματωμένων ηλεκτρονικών αισθητήρων (επιταχυνσιόμετρου, γυροσκόπιου, μαγνητόμετρου κ.α.).
Έτσι, όταν ο χρήστης πληκτρολογεί τον κωδικό του σε ένα ΑΤΜ και την ίδια ώρα φορά το «έξυπνο» ρολόι του που διαθέτει το κακόβουλο λογισμικό, το τελευταίο εν αγνοία του στέλνει στους χάκερ τα δεδομένα για τις κινήσεις του χεριού του χρήστη.
Με τη βοήθεια αλγόριθμου, που διαθέτει ο χάκερ, είναι σε θέση να μαντέψει τι πληκτρολόγησε ο χρήστης στο ΑΤΜ, στην ηλεκτρονική κλειδαριά του σπιτιού και του χρηματοκιβωτίου του ή σε όποιο άλλο σύστημα ασφαλείας χρειάζεται η εισαγωγή κωδικού με το χέρι.
Εναλλακτικά, αντί για την εισαγωγή κακόβουλου λογισμικού στη συσκευή του χρήστη, ο χάκερ μπορεί να τοποθετήσει ασύρματη συσκευή υποκλοπής κοντά στο ΑΤΜ, έτσι ώστε να «κρυφακούει» τα δεδομένα των αισθητήρων, τα οποία στέλνει μέσω Bluetooth το «έξυπνο» ρολόι ή το fitness tracker του χρήστη στο συνδεδεμένο smartphone του θύματος.
Προς το παρόν, η λύση που προτείνεται στους κατασκευαστές είναι να εισάγουν τεχνηέντως ένα συγκεκριμένο «θόρυβο» στα δεδομένα των αισθητήρων, ώστε να είναι πιο δύσκολο για τους χάκερ να συμπεράνουν τις συγκεκριμένες κινήσεις του χεριού του χρήστη.
Πηγή: ΑΜΠΕ
