Эксперты «Лаборатории Касперского» провели исследование, посвященное киберфизическим рискам, которым подвержены владельцы фитнес-браслетов, смарт-часов и других носимых устройств. По словам аналитиков, возможность несанкционированного сбора и обработки показателей встроенных в гаджеты гироскопов и акселерометров значительно увеличивает площадь атаки и открывает новые возможности слежки через легитимные приложения.

В своей работе эксперты «Лаборатории Касперского» регистрировали обезличенные сведения с акселерометров и гироскопов, создав простое приложение на основе референсного кода Google и использовав его на ряде моделей — Huawei Watch, Kingwear KW88 и PYiALCYX200, работающих на базе операционных систем Android Wear 2.5 и Android 5.1 for Smartwatch.

По записям акселерометра в сочетании с данными гироскопа можно выделить несколько паттернов, которые позволяют легко выявить периоды, когда пользователь идет — в этом случае рука совершает маятникообразные движения.

Определить действия пользователя на более «спокойных» участках графика колебаний сложнее, но можно предположить, что, например, при отсутствии ориентации гаджета в пространстве и наличии ускорения человек едет в лифте или автомобиле. В сочетании с данными гироскопа, учитывающими вращение, возможно узнать, когда рука пользователя находится в определенном положении (например, над клавиатурой компьютера или банкомата).

Сделать «цифровой слепок» паттернов движения пользователя можно при помощи такого сравнительно простого математического метода, как подсчет взаимной корреляции графиков, основанных на данных различных датчиков. Это позволяет добиться 83%-ной точности при определении закономерностей и,  к примеру, выявить, по какой ветке метро ездит владелец устройства.

Зная паттерны пользователя, потенциальные злоумышленники могут определить, когда цель атаки приходит на работу и вводит пароль на корпоративном компьютере. Если сопоставить данные о перемещении человека с его координатами, можно понять, в какой банк ходит жертва и когда вводит PIN-код на клавиатуре банкомата.

Также в рамках эксперимента добровольцам было предложено ввести PIN-код, что дало исследователям возможность оценить перемещение руки с носимым гаджетом по трем осям. Обладая этой информацией, с помощью нейронных сетей можно вычислить комбинацию с точностью не менее 80%.

Хотя выполнение подобных операций на базе ограниченных вычислительных возможностей мобильных устройств в настоящий момент нереалистично, обработка полученных поведенческих паттернов на базе более мощной техники — это реализуемая задача. Эксперимент «Лаборатории Касперского» подтвердил, что в таком случае точность распознавания ввода PIN-кода достигает 87%.

Проанализировав паттерны при вводе пароля на компьютере и смартфоне при помощи подсчета корреляций, исследователи смогли добиться точности идентификации пользователя в 96% на компьютере и 64% на смартфоне.

Популярность умных носимых гаджетов и недостаточно изученные возможности их взлома продолжают волновать ИБ-экспертов. Об опасностях фитнес-трекеров уже рассказали исследователи Центра безопасной разработки при IEEE, а на конференции Black Hat Asia было заявлено, что по крайней мере три незакрытые уязвимости имеет каждое носимое устройство.

Несколько инцидентов, связанных со сбором данных в приложении Strava, еще раз заставили обратить внимание на угрозы частной жизни и даже национальной безопасности, к которым могут привести утечки киберфизической информации.

Категории: Аналитика, Главное