Исследователи из Бингемтонского университета разработали алгоритм, который позволяет с помощью показаний датчиков умных часов или фитнес-трекера с высокой точностью определить вводимый при помощи клавиатуры пароль или пин-код.
Об этом сообщает портал N+1 со ссылкой на IEEE Spectrum.
В рамках проведенного эксперимента два десятка добровольцев носили умные часы LG W150, Moto 360 и отдельное устройство на базе комбинированного датчика отслеживания движений MPU-9150.
Испытуемые набирали пин-код на клавиатуре банкомата, а исследователи записывали показания датчиков устройств о перемещении руки, нажимающей на клавиши.
Ученые получили пять тысяч наборов данных, для анализа которых использовали указанный алгоритм. Как отмечают авторы, наиболее сложным был расчет расстояния перемещения руки между клавишами, для измерения которого использовались показания акселерометра. Поскольку начальная точка положения руки в каждом случае отличается, авторы «развернули» пин-код и начали считывать его с конца, приняв за начальную точку расшифровки нажатие кнопки Enter после ввода пин-кода.
В результате, удалось добиться 80% точности распознавания введенного цифрового кода на основе показаний одних лишь датчиков носимого гаджета.
По словам исследователей, это означает, что технология может быть использована для кражи реальных пин-кодов при помощи эксплойтов, использующих уязвимости в системном программном обеспечении умных часов и фитнес-трекеров. Злоумышленнику при такой схеме не нужно находиться поблизости от банкомата, достаточно установить неподалеку Bluetooth-сниффер или использовать вредоносную программу на спаренном смартфоне.
Ученые считают, что для борьбы с подобной утечкой информации производители могут добавлять «шум» в показания датчиков.
Пользователи, в свою очередь, могут при использовании умных часов и фитнес-трекеров делать во время набора пин-кода лишние движения, которые помешают злоумышленникам воспользоваться аналогичным алгоритмом.