جدیدترین شیوه سرقت پسوردها در گوشی اندروید

Blog Single

محققان اخیرا مقاله‌ای در مورد حملات جانبی جدید منتشر کرده‌اند که اندروید را تبدیل به یک سیستم سونار می‌کند. این حملات جانبی به هکرها اجازه می‌دهد که از طریق سیگنال صوتی حرکت انگشتان شخص را روی گوشی دنبال کند و از این طریق اطلاعات مهم مانند پسوردها را سرقت کند.

حملات جانبی یا side- channel attack نوع جدیدی از حملات کامیپوتری هستند که از اطلاعاتی که می‌توانند از سیستم قربانی بدون بهره‌برداری از باگها جمع‌آوری کنند، سودجویی می‌کنند. در واقع آنها بجای استفاده از باگها از مصرف پاور، نشت الکترومغناطیسی و یا حتی صدا در سیستم قربانی می‌توانند به اطلاعات مفیدی دستیابی پیدا کنند.

اخیرا محققان در مورد حملات جانبی بر دستگاه‌های موبایل بررسی‌هایی انجام داده‌اند تا راه‌های دستیابی به اطلاعات حساس مانند پین‌کدها و پسوردها را ارزیابی کنند. در همین راستا تیمی از محققان دانشگاه لانکستر انگلستان و دانشگاه لینکوپینگ سوئد مقاله‌ای منتشر کردند که روش استفاده از اسپیکر و میکروفن تلفن هوشمند را برای ایجاد یک حمله جانبی پنهان که اساسا گوشی را تبدیل به یک سیستم سونار* می‌کند، تشریح کرده است. بر اساس این مقاله محققان قادر بودند حرکت انگشتان شخص را روی دستگاه اندرویدی تفسیر کنند و از این طریق تعداد الگوهایی را که یک هکر برای بدست آوردن پسورد صحیح نیاز دارد، 70% کاهش دهند.

در این مقاله عنوان شده است که از دستگاههای اندرویدی موجود بعنوان یک سیستم کامپیوتری دارای اکوستیک با کیفیت استفاده شده است. همچنین محققان این سیستم صوتی را با حملات جانبی انطباق دادند بگونه‌ای که سیگنال‌های غیر قابل شنیدن از طریق اسپیکر پخش و اکو از طریق میکروفن ضبط شود. به این ترتیب سیستم صوتی گوشی به سونار تبدیل شد.

با استفاده از این رویکرد، هکری که کنترل بر اسپیکر و میکروفن دستگاه گوشی را بدست می‌آورد، قادر است فعالیت‌های کاربر مانند حرکت انگشتانش بر روی صفحه تاچ را مشاهده کند و بدلیل اینکه صدای پخش شده از اسپیکر برای کاربر قابل شنیدن نیست، او هرگز متوجه سرقت اطلاعاتش از طریق سیستم صوتی نخواهد شد.

در این حمله که محققان آن را سونار اسنوپ (جاسوس سونار) می‌نامند، هکر نیاز به یک اپلیکیشن مخرب بر روی گوشی قربانی دارد. این اپلیکیشن نیاز دارد تا به میکروفن دسترسی یابد که می‌تواند بسادگی مجوز آن را هنگام نصب از کاربر دریافت کند. هنگامی که این اپلیکیشن با موفقیت نصب شد در پس‌ زمینه اجرا می‌شود و هر زمان که گوشی راه‌اندازی شود، فعال می‌شود. در واقع هدف این اپ ایجاد یک سیگنال آکوستیک است که برای قربانی یا سایرین غیر قابل شنیدن باشد و اسپیکر آن را پخش کند تا میکروفن کار ضبط آن را انجام دهد. سپس سیگنالهای دریافت شده در یک ماتریس نمایه‌ای اکو ارائه می‌شوند تا جابجایی انگشتان را تصویر سازی کنند و به این ترتیب پسورد برای هکر قابل تخمین خواهد بود.

هرچند در این تحقیق از گوشی اندرویدی استفاده شده است ولی محققان معتقدند که می‌توان این روش را برای بدست آوردن اطلاعات از هر دستگاهی بکار برد. برای مثال یک گوشی که کنار لپ‌تاپ یا سیستم کامپیوتر شما قرار گرفته است می‌تواند به عنوان ابزاری برای پخش یا ضبط سیگنالهای صوتی در کنار سیستم شما استفاده شود. در واقع هر دستگاه دارای اسپیکر و میکروفنی مانند تبلت، گوشی هوشمند، ساعت هوشمند و ... می‌تواند ابزاری برای این نوع از سرقت اطلاعات باشد.

هرچند این روش خلاقانه و نوآورانه در حال حاضر بسیاری از کاربران را تهدید نمی‌کند اما قطعا برای سازمانهای جاسوسی و گروه هکرها جذاب است و راهکار جدیدی برای جاسوسی در اختیار آنها قرار می‌دهد.

*سونار تکنیکی است که از انتشار صدا برای کاوش، مخابره و یا شناسایی موانع روی سطح آب و یا زیر آن استفاده می‌کند.

منبع : مرکز خدمات بیت دیفندر ایران
Bitdefender یکی از معتبرترین شرکتهای ارائه دهنده آنتی ویروس و راهکارهای امنیت سایبری در جهان است که با در اختیار داشتن زیرساخت های امنیتی گسترده، راهکارهای هدفمند و همچنین مجموعه جوایز ارزشمند توانسته است اعتماد نیم میلیارد کاربر را بدست آورد. همچنین لازم به ذکر است که راهکارهای امنیت سایبری بیت دیفندر در بیش از ۱۵۰ کشور جهان به فروش می رسد.