Смарт-часы и фитнес-трекеры можно использовать для взлома паролей
Носимые аксессуары, в частности, "умные" часы и фитнес-трекеры, содержат множество датчиков и сенсоров для сбора информации о вашем организме и последующем анализе для предоставления пользователю информации о его активности и состоянии организма. Но что если возможности наручных устройств будут использованы против нас самих? Учёные из Иллинойского университета во главе с Ромитом Роем Чудхари разработали систему Motion Leaks, что в дословном переводе означает "утечка движений". Как показали испытания, получение данных о движении человека с гироскопа и акселерометра и последующая обработка с высокой точностью позволяют установить, какие клавиши и в каком порядке нажимал человек, расшифровав таким образом передаваемое сообщение, запрос в поисковом сервисе и даже пароли.
Действующая модель была испытана на часах Samsung Gear Live, однако, по словам ученых, аналогичный результат можно получить с помощью часов Apple Watch или фитнес-браслета Fitbit.
Вредоносный код, перехватывающий данные с сенсоров движения, может быть интегрирован с любым приложением, установленным на часы. Полученные данные могут быть использованы злоумышленником для сопоставления расположения символов на клавиатуре и движения руки. Для различия близкостоящих букв анализируется время, необходимое для нажатия. К примеру, рука тянется до латинской буквы "T" немного дольше, нежели до "F". При этом было установлено, что сенсоры не распознают нажатие на пробел. Таким образом, хакер получает довольно большой объём личных данных, включая регистрационную информацию с сайтов и части паролей. Утверждается, что даже половина известных символов существенно уменьшает время подбора пароля.
Любопытно, что решение этой проблемы невероятно простое: частота обращения системы к сенсорам составляет примерно 200 Гц. После уменьшения этого показателя до 15 Гц получаемая информация становится бесполезной для хакеров. Полученные результаты будут опубликованы на конференции MobiCom 2015, которая состоится в Париже на следующей неделе. Воспользуются ли производители носимых устройств полученной информацией - неизвестно.
