Iphone

研究者らが携帯電話のモーションセンサーを使ったパスコード検出方法を実証

研究者らが携帯電話のモーションセンサーを使ったパスコード検出方法を実証

英国ニューカッスル大学の研究チームは、スマートフォンの動きを追跡するだけでパスコードを盗まれる可能性があることを実証しました。Appleは昨年、センサーデータの収集を防ぐためのパッチをリリースしているのでご安心ください。しかし、Androidユーザーは、不正なウェブサイトにアクセスしたり、マルウェアのリンクをタップしたりすると、パスコードを盗まれるリスクが依然として存在します。Googleもこの問題を認識していますが、現在も修正を検討中です。

この手法は、ユーザーが情報を入力する際のスマートフォンの傾き方を検知することに基づいています。ウェブサイトにホストされている、または正規のアプリに埋め込まれた悪意のあるプログラムは、スマートフォンに搭載された多数の内部センサーによって収集されたデータを密かに盗聴し、それを利用してユーザーに関する様々な機密情報を入手することができます。

ニューカッスル大学の研究者が発表した方法は、高度な機械学習アルゴリズムを少し活用することで、4桁の暗証番号を最初の推測で70パーセントの精度で解読でき、5回目の推測では100パーセントの精度で解読できるという。

ヒント: 6桁のパスコードでiOSデバイスを保護しましょう

各人の携帯電話はそれぞれ異なる動きのパターンを生み出します。

これらのパターンを理解するために、研究者は、さまざまなアカウントにアクセスするためにパスコードを入力する人々から収集したデータを使用して人工ニューラル ネットワークをトレーニングしました。

主著者のマリアム・メヘルネザド博士は次のように述べている。

現在、ほとんどのスマートフォン、タブレット、その他のウェアラブルには、よく知られている GPS、カメラ、マイクから、ジャイロスコープ、近接センサー、NFC、回転センサー、加速度計などの機器まで、多数のセンサーが搭載されています。

しかし、モバイル アプリや Web サイトは、それらのほとんどにアクセスするために許可を求める必要がないため、悪意のあるプログラムが密かにセンサー データを「盗聴」し、それを使用して電話の通話時間、身体活動、さらにはタッチ操作、PIN、パスワードなど、ユーザーに関するさまざまな機密情報を発見することができます。

さらに心配なことに、一部のブラウザでは、スマートフォンやタブレットでこうした悪意のあるコードを含むページを開き、前のタブを閉じずにたとえばオンラインバンキングのアカウントを開くと、入力したすべての個人情報がスパイされる可能性があることが分かりました。

さらに悪いことに、場合によっては、完全に閉じない限り、携帯電話がロックされているときにもスパイされる可能性があります。

研究者たちは現在、フィットネストラッカーやApple Watchなどのウェアラブルデバイスによって生成されるモーションデータ(手首のわずかな動きだけでなく、座る、歩く、走る、さまざまな通勤方法などの一般的な身体活動に関するデータを含む)がプライバシーにリスクをもたらす可能性があるかどうかを評価している。

前述のように、Apple は昨年、iOS 9.3 の一部としてこの問題のパッチをリリースしました。

脆弱性について詳しく知りたい場合は、ホワイトペーパーをお読みください。

出典:ニューカッスル大学(1)、(2)Engadget経由

Milawo
Milawo is a contributing author, focusing on sharing the latest news and deep content.