Tietoturva

Tällä tempulla luottokorttitiedot kaapataan puhelimesta

Julkaistu: , Päivitetty:

Tutkijajoukko esitteli uutta pelottavaa tapaa kerätä yksityistietoja puhelimista.


Phys.org kertoo tutkijoiden kehittämästä uudesta hyökkäyksestä, jolla onnistuttiin keräämään yksityistietoa Android-sovelluksista jaetun muistin avulla.

Idea on yksinkertainen. Ensin puhelin tarvitsee saastuttaa haittaohjelmalla. Sovellus tarvitsee verkonkäyttöoikeudet, mutta ei mitään muita erityisiä käyttöoikeuksia. Se siis uppoaa puhelimeen helposti lähes minkä tahansa muun sovelluksen kylkiäisenä. Tämän jälkeen taustalla pyörivä haittaohjelma tarkkailee puhelimen jaetusta muistista muiden sovellusten tilaa.

Kun näyttää siltä, että käyttäjä on kohta kirjautumassa sisään johonkin palveluun tai vaikkapa syöttämässä luottokorttitietonsa ostotapahtuman päätteeksi, haittasovellus kaappaa syötteen itselleen käyttäjän huomaamatta.

Hyökkäys onnistuu vain, jos se suoritetaan juuri sillä hetkellä, kun käyttäjä on syöttämässä yksityistietojaan. Ajoittaminen taas on vaikeaa, sillä tämä voidaan päätellä vain epäsuorasti muutoksista sovelluksen tilasta yhteisessä muistissa.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Tästä huolimatta kuusi kokeillusta seitsemästä suositusta sovelluksesta oli murrettavissa pelottavan hyvällä tehokkuudella. Esimerkiksi Gmail-sovellukselta saatiin kaapattua sisäänkirjautumistiedot 92 prosentissa testejä. Viisi muuta kohdetta murtuivat 82–92 prosentin todennäköisyydellä.

Ainoastaan Amazonin sovelluksen toimintaa oli vaikea tulkita jaetun muistin perusteella, ja sen murtaminen onnistui 48 prosentissa testeistä.

Tutkijat demonstroivat hyökkäystä Android-puhelimella, mutta olivat vakuuttuneita siitä, että sama temppu toimisi myös iOS:llä ja Windows Phonella, koska nämä käyttävät jaettua muistia samankaltaisin tavoin.

Kommentit

    Näytä lisää