خلاصه: امروزه تلفنهای همراه از سنسورهای فراوانی استفاده میکنند. استفاده زیاد از این سنسورها در برنامههای مختلف باعث شده که سیستمعامل برای دادن اجازه دسترسی به آنها از کاربر اجازه دریافت نکند. همچنین وبسایتها میتوانند به اطلاعات بسیاری از سنسورها دسترسی داشته باشند. گروهی از پژوهشگران نشان دادهاند که با استفاده از اطلاعات این سنسورها، امکان حدس کلمات عبور با دقت بالایی وجود دارد.
امروزه با هوشمندتر شدن تلفنهای همراه تعداد سنسورهایی که در این دستگاهها مورد استفاده قرار میگیرد افزایش یافته است. سنسورهای جیپیاس، دوربین، میکروفون، شتابسنج، قطبنما، نزدیکی، ژیروسکوپ، گامشمار و اثر انگشت تعدادی از این سنسورها هستند. یک تیم ایرانی در دانشگاه نیوکاسل انگلیس با انتشار مقالهای مدعی شدهاند که هکرها با استفاده از اطلاعات این سنسورها میتوانند کلمات عبور و کدهای پین را با دقتی مناسب حدس بزنند. این گروه در یک آزمایش تنها با استفاده از اطلاعات زاویه و حرکت تلفن همراه در هنگام تایپ کلمه عبور، توانستهاند با دقت بسیار خوبی کلمات عبور را حدس بزنند.
خطر اصلی مساله در این است که سایتها و برنامهها بدون نیاز به گرفتن اجازه از کاربر به اطلاعات بسیاری از سنسورها دسترسی دارند و بنابراین هکرها میتوانند بدون اطلاع کاربر این اطلاعات را دریافت کرده و از آنها در راستای اهداف خرابکارانه خود استفاده کنند.
هنگام نصب برنامههای جدید یا استفاده از وبسایتها، تلفن همراه برای استفاده از سنسورهایی همچون جیپیاس، دوربین و میکروفون اجازه میگیرد؛ ولی سنسورهای دیگر مانند شتابسنج، قطبنما و زیروسکوپ بدون اجازه کاربر میتوانند مورد استفاده قرار گیرند. این مساله به دلیل استفاده زیاد برنامههای کاربردی و بازیها از این سنسورها و تصور اطلاعات غیر حساس آنها است. دکتر مهرنژاد، سرپرست این تیم تحقیقاتی معتقد است برنامهها و وبسایتهای خرابکار با دریافت مداوم اطلاعات این سنسورها، میتوانند اطلاعات حساسی در مورد شخص همچون زمان تماسها، فعالیتهای فیزیکی فرد و حتی کلمات عبور و کدهای پین وارد شده را به دست آورند.
این تیم تحقیقاتی برای اثبات ادعای خود با ایجاد یک حمله ساختگی، اطلاعات ۲۵ سنسور یک تلفن هوشمند با سیستمعامل iOS را با استفاده از یک کد مخرب جاوااسکریپت که امکان دسترسی به اطلاع سنسورها و ضبط اطلاعات آنها را دارد جمعآوری نمودهاند. این کد مخرب میتواند درون برنامههای کاربردی یا وبسایتهای مخرب مورد استفاده قرار گیرد. پس هکر تنها چیزی که نیاز دارد فریب کاربر به نصب برنامه مورد نظر خود یا بازدید از یک سایت است.
گام بعدی این تیم تحقیقاتی حدس کلمات عبور وارد شده توسط کاربر با استفاده از اطلاعات سنسورها بود. نتیجه این قسمت شگفت انگیز بوده است. تنها با اطلاعات دو سنسور حرکت و زاویه، در تلاش اول با دقت ۷۴% کلمه عبور درست تشخیص داده شده و این دقت در تلاش دوم به ۱۰۰% صحت میرسد. این دقت بالا اهمیت اطلاعت این سنسورها را آشکار میکند.
این تیم همچنین نشان دادهاند که با اطلاعات جمعآوری شده از این سنسورها، امکان مشخص کردن اطلاعاتی از قبیل محل کلیک کردن یا اسکرول کردن صفحات و همچنین کلیک کردن و تایپ کردن متن را به دست آورند.
این تیم تحقیقاتی معتقد است کار این گروه در آگاهی رسانی در مورد اطلاعات حساس این سنسورها تا زمانی که برنامهها و سایتها از این اطلاعات بدون محدودیت استفاده میکنند نتیجه بخش نبوده است. از این رو این گروه در تلاش برای رایزنی با شرکتهایی همچون گوگل و اپل و همچنین تیمهای مرورگرهایی مانند موزیلا و سافاری هستند تا راهکاری برای حفظ اطلاعات این سنسورها به دست آورند.