Ukrást heslo na mobilu? Stačí ho odečíst ze zvuků odemykání obrazovky, ukázal experiment

Člověk zadává heslo do svého mobilu, ale hackeři ho přečtou na dálku, a to podle zvuků, které způsobuje zadávání hesla. Tento scénář už není jen noční můrou běžného uživatele, podařil se skupině počítačových expertů.

Vědci při experimentu vyzkoušeli úspěšnost takového útoku na 45 lidech s telefony nebo tablety vybavenými operačními systémy Android. Výsledky výzkumu zveřejnili na odborném webu arXiv. 

Při zadávání hesla a dalších dotecích na obrazovce telefonu se přístrojem šíří zvukové vlny až k mikrofonu. A algoritmus, který vědci vyvinuli, dokáže poznat, z jaké části obrazovky tyto doteky pocházejí. Díky tomu jsou s poměrně vysokou pravděpodobností schopní rozeznat, jaká čísla člověk do mobilu zadává.

„Tím, že jsme zaznamenávali zvuky skrze zabudovaný mikrofon, dokáže aplikace odhadnout, co se na telefonu píše,“ uvedli autoři práce. Při experimentu se jim z těchto vibrací podařilo úspěšně poznat 27 ze 45 hesel na mobilních telefonech a 19 z 27 hesel na tabletech.
Samotnou práci odvedla umělá inteligence, která byla schopná se učit ze svých chyb.

Experiment imitoval situace běžného života 

Experiment proběhl v běžných podmínkách reálného života. „Provedli jsme ho mimo laboratoř, abychom simulovali normální život, abychom tak vylepšovali pravdivost studie,“ popsali vědci.

Pokus byl proveden ve třech odlišných prostředích:

  • V běžné místnosti, kde si povídali lidé a vaří se tam káva.
  • V čítárně, kde se lidé snažili mluvit tichým hlasem a tlumeně.
  • V knihovně, kde se ozývalo hodně zvuků ze psaní na klávesnici.

Ve všech třech navíc do místnosti pronikal různě silný šum z venkovního prostředí, protože byla otevřená okna.

Co s tím?

Podle autorů není snadné proti tomuto problému něco dělat. „Mobilní zařízení potřebují lepší procesní model a lepší systém notifikací, které uživateli poskytnou informace o tom, jak jsou využívány senzory přístroje, a také lepší vyhodnocení informací, které unikají z přístroje ven,“ zmiňují.

V diskusi u článku se také věnují možným řešením. Zřejmě nejlepší je podle vědců, aby přístroj generoval „šum“ – tedy aby v době, kdy se zadává heslo, vysílal ven falešné údaje, jež by zmátly případné útočníky.

Takové aplikace by nemusely být ani příliš náročné, ani by moc nebránily fungování mobilního telefonu nebo tabletu.