To nie jest dobry dzień dla naszej prywatności, dla przekonania, że jesteśmy w stanie chronić dane zapisane w naszych smartfonach i komputerach. Najnowsze prace naukowe przynoszą cały pakiet, niepokojących pod tym względem, wiadomości. Naukowcy z Newcastle University przekonują, że coraz liczniejsze czujniki, w jakie wyposażane są nasze smartfony, ułatwiają odczytanie zabezpieczającego hasła, choćby kodu PIN. Z kolei badacze z New York University przestrzegają, że do końca nie możemy ufać też systemom wykorzystującym do identyfikacji nasze odciski palców.

Zdj. ilustracyjne /Maciej Nycz /RMF FM

W artykule opublikowanym w czasopiśmie "International Journal of Information Security" badacze z Newcastle piszą o rosnących zagrożeniach związanych z brakiem kontroli nad danymi zbieranymi przez coraz liczniejsze w naszych smartfonach czujniki. Ich liczba sięga już nawet 25, przy czym tylko niektóre - choćby GPS i kamera - wprost wymagają od nas zgody. Te czujniki rejestrują wszystko, od ułożenia telefonu, jego ruchu, przeciążeń, po wstrząsy związane z dotknięciem ekranu. Złośliwe aplikacje mogą te wskazania zbierać, co otwiera im drogę do złamania zabezpieczeń naszego urządzenia.

Okazuje się na przykład, że sama analiza ruchów i ułożenia naszego smartfona, pozwala odpowiedniemu oprogramowaniu złamać nasz czterocyfrowy PIN za pierwszą próbą nawet w 70 procent przypadków. Piąta próba wystarcza już praktycznie zawsze. Do tego dochodzi zagrożenie związane z coraz powszechniejszym używaniem trackerów fitness. Te urządzenia, sprzężone zwykle z naszymi smartfonami, czy profilami on-line pozwalają analizować nawet drobne ruchy nadgarstka, o chodzeniu, bieganiu, czy pływaniu nie wspominając. To źródło cennych informacji na nasz temat.

Ponieważ aplikacje mobilne i strony internetowe nie żądają zgody na zbieranie danych z większości z tych czujników, złośliwe oprogramowanie może w niezauważalny dla nas sposób "podglądać je" i na podstawie ich wskazań zbierać cały zestaw wrażliwych informacji - mówi pierwsza autorka pracy, dr Maryam Mehrnezhad, z Newcastle University School of Computing Science. To informacje nie tylko o czasie wykonywanych połączeń telefonicznych, czy aktywności fizycznej, ale też o sposobie w jaki korzystamy z ekranu dotykowego, naszych PIN-ach, czy innych hasłach dostępu.

Badacze pokazali na przykład, że każda z form użycia ekranu dotykowego ma we wskazaniach czujników u danej osoby charakterystyczny obraz. Na podstawie szczególnie często powtarzanych czynności, łatwo rozpoznać, co użytkownik robi. To trochę tak, jak układanka, w której kolejne dokładane elementy zwiększają prawdopodobieństwo odczytania pełnego obrazu - dodaje współautor pracy, dr Siamak Shahandashti. Zależnie od tego, czy trzymamy telefon w jednej ręce i do pisania używamy kciuka, czy trzymamy w jednej, a piszemy drugą, smartfon bedzie się przechylał inaczej i te schematy łatwo można rozpoznać - zaznacza. Jeśli dodamy do tego wskazania fitness trackera, owo rozpoznawanie jest jeszcze łatwiejsze.

Co można z tym zrobić? Naukowcy z Newcastle University liczą na to, że firmy produkujące oprogramowanie, z którymi się skontaktowali będą w stanie ograniczyć przynajmniej niektóre z zagrożeń. Na razie jednak sugerują, by sami użytkownicy zadbali o swoje bezpieczeństwo. Najprostszy sposób to częsta zmiana kodu PIN tak, by ewentualne złośliwe oprogramowanie nie mogło stopniowo nauczyć się go rozpoznawać. Wskazana jest też kontrola działających aplikacji i odinstalowanie tych, które nie są nam potrzebne, a także dokładne sprawdzanie nowych i ograniczenie na tyle, na ile to możliwe, korzystania przez nie z czujników smartfona.

Niestety, nie ma dobrych wiadomości dla osób posługujących się dla identyfikacji odciskiem palca. Naukowcy z New York University Tandon School of Engineering i Michigan State University College of Engineering przekonują na łamach czasopisma "IEEE Transactions on Information Forensics & Security", że i to zabezpieczenie można złamać. Co prawda odciski palców są niepowtarzalne, ale pewne ich fragmenty mogą być już częściowo do siebie podobne. To sprawia, że systemy stosowane do ich rozpoznawania choćby w smartfonach mogą być podatne na włamanie. Urządzenia te nie badają całego odcisku palca, tylko jego fragmenty, można sobie wyobrazić zasymulowanie na tyle ogólnego odcisku, że byłby w stanie oszukać wiele urządzeń.

Tak tłumaczy współautor pracy, prof. Nasir Memon z NYU Tandon, trochę przypomina to wykorzystanie przy próbie złamania kodu PIN sekwencji "1234". Wiadomo, że w około 4 procent przypadków taki właśnie kod okaże się poprawny, badacze próbowali się przekonać, czy da się stworzyć jakiś "superodcisk", który będzie porównywalnie skuteczny. Analiza bazy danych 8200 częściowych odcisków pokazała, że jest to możliwe. Dla każdych przypadkowych 800 odcisków udawało się znaleźć przeciętnie 92 "superodciski" pasujące do przynajmniej 4 procent z nich. Oczywiście, jeśli weźmie się pod uwagę pełny odcisk, szansa znalezienia pełnego odpowiednika gwałtownie maleje. Nadal pozostaje to jednak możliwe. Wydaje się, że rozsądnym rozwiązaniem byłaby w tym wypadku nie tylko poprawa precyzji czujników, ale też zwiększenie stopnia zabezpieczenia przez dodanie do odcisków palców dodatkowych haseł. To oczywiście zmniejsza wygodę stosowania zabezpieczeń, ale... coś za coś.