WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Mã PIN của ATM có thể bị đánh cắp thông qua thiết bị đeo thông minh
Nghiên cứu gần đây của Đại học Binghamton cho thấy đồng hồ thông minh (smartwatch) hoặc thiết bị theo dõi sức khỏe (fitness tracker) không thực sự an toàn và có thể được sử dụng để đánh cắp mã PIN của ATM.
Nguy cơ nằm trong các bộ cảm biến chuyển động được sử dụng bởi những thiết bị có thể đeo được (wearable devices). Các cảm biến này thu thập thông tin chuyển động của tay cùng nhiều dữ liệu khác, có thể giúp "tin tặc tạo lại quỹ đạo" của bàn tay và "phục hồi các lần nhập khóa bí mật".
Các nhà nghiên cứu của Đại học Binghamton sử dụng một thuật toán máy tính để đoán mật khẩu và mã PIN với tỷ lệ thành công khoảng 80% trong lần đầu tiên, và hơn 90% sau 3 lần thử.
Khôi phục mật khẩu và mã PIN
Theo các nhà nghiên cứu, thuật toán "Backward PIN-Sequence Inference" có thể được sử dụng để bắt bất cứ điều gì được gõ trên bất kỳ bàn phím - từ máy rút tiền tự động đến điện thoại di động - thông qua các smartwatch bị lây nhiễm, ngay cả khi người dùng chỉ chuyển động tay nhẹ nhàng khi nhập mã PIN.
Mặc dù các nhà nghiên cứu không chỉ rõ tên của thiết bị đeo tồn tại lỗ hổng, nhưng lưu ý rằng kẻ tấn công có thể ghi lại thông tin chuyển động của tay... trực tiếp bằng cách lây nhiễm mã độc vào thiết bị đeo hoặc từ xa bằng cách chặn kết nối Bluetooth từ thiết bị đeo đến điện thoại.
Theo nhóm nghiên cứu, có thể ngăn chặn cuộc tấn công này bằng cách chèn "một kiểu dữ liệu gây nhiễu" cho phép thiết bị vẫn được sử dụng để theo dõi sức khỏe, nhưng không cho phép đoán tổ hợp phím. Một cách khác là chỉ nhập mật khẩu hoặc mã PIN khi không đeo thiết bị có tính năng theo dõi chuyển động tinh vi.
Theo The Hacker News
Nguy cơ nằm trong các bộ cảm biến chuyển động được sử dụng bởi những thiết bị có thể đeo được (wearable devices). Các cảm biến này thu thập thông tin chuyển động của tay cùng nhiều dữ liệu khác, có thể giúp "tin tặc tạo lại quỹ đạo" của bàn tay và "phục hồi các lần nhập khóa bí mật".
Các nhà nghiên cứu của Đại học Binghamton sử dụng một thuật toán máy tính để đoán mật khẩu và mã PIN với tỷ lệ thành công khoảng 80% trong lần đầu tiên, và hơn 90% sau 3 lần thử.
Khôi phục mật khẩu và mã PIN
Theo các nhà nghiên cứu, thuật toán "Backward PIN-Sequence Inference" có thể được sử dụng để bắt bất cứ điều gì được gõ trên bất kỳ bàn phím - từ máy rút tiền tự động đến điện thoại di động - thông qua các smartwatch bị lây nhiễm, ngay cả khi người dùng chỉ chuyển động tay nhẹ nhàng khi nhập mã PIN.
Mặc dù các nhà nghiên cứu không chỉ rõ tên của thiết bị đeo tồn tại lỗ hổng, nhưng lưu ý rằng kẻ tấn công có thể ghi lại thông tin chuyển động của tay... trực tiếp bằng cách lây nhiễm mã độc vào thiết bị đeo hoặc từ xa bằng cách chặn kết nối Bluetooth từ thiết bị đeo đến điện thoại.
Theo nhóm nghiên cứu, có thể ngăn chặn cuộc tấn công này bằng cách chèn "một kiểu dữ liệu gây nhiễu" cho phép thiết bị vẫn được sử dụng để theo dõi sức khỏe, nhưng không cho phép đoán tổ hợp phím. Một cách khác là chỉ nhập mật khẩu hoặc mã PIN khi không đeo thiết bị có tính năng theo dõi chuyển động tinh vi.
Theo The Hacker News