Okostelefonokban lévő szerkentyűk, mint például a gyorsulásmérő, mágnessségmérő, a giroszkóp, a barométer, a hangulatvilágítás-jelző és a helyszenzorok potenciális biztonsági rést jelentenek – derült ki a szingapúri Nanyang Műszaki Egyetem (NTU) felméréséből.
Azaz a szenzorikus adatok rosszindulatú alkalmazásként való felhasználásával látszatra nagyon biztonságosnak tűnő gépek is megtámadhatók oldalcsatornákon. PIN-kódok, más jelszók és egyéb érzékeny információk tulajdoníthatók el, ráadásul a user viselkedése is megfigyelhető, így a személyes szféra (privacy) is veszélyeztetett.
Hat különféle érzékelőből kigyűjtött információkat legújabb gépi tanulás, mélytanulás-algoritmusokkal feldolgozva, a kutatók mindössze 3 próbálkozásból 99,3 százalékos sikerrel törtek fel az 50 legelterjedtebb PIN-kódot használó okostelefonokat.
A korábbi legjobb telefon-feltörési ráta 74 százalék volt, tehát az NTU technikája valóban figyelemreméltó, mind a 10 ezer lehetséges négy számjegyű PIN-kódra alkalmazható.
A telefon megdöntése, az ujjak által blokkolt fény alapján a kutatók szenzorokkal modellezték, hogy milyen számokat nyomott meg a felhasználó. A szenzorok használatához nem kell a user engedélye, és ezek az adatok minden app számára elérhetők.
Androidos telefonokra hat szenzortól adatokat gyűjtő appot telepítettek. Amikor kézben tartjuk a készüléket, és beütjük a kódot, a telefon nagyon másként mozog 1-nél, 5-nél vagy 9-nél stb. 1-nél a jobb hüvelykujj több fényt blokkol, mint a 9-es gombnál.
Az osztályozóalgoritmus három személytől gyűjtött adatokon gyakorolt. Mindhárman véletlenszerű 70 négyjegyű számból álló sort pötyögtek a telefonba. A hozzájuk kapcsolódó szenzorikus reakciókat szintén rögzítették. Az algoritmus a számok megnyomására adott reakciójuk „érzékenység-szintje” alapján súlyozta a szenzorokat. Ugyan mindenki másként üti be a PIN-kódot, de minél több adat gyűlt össze, az algoritmus annál sikeresebben dolgozott.
Rosszindulatú alkalmazások telepítés után nem találják ki azonnal a kódot, gépi tanulással viszont idővel beviteli mintázatokat azonosítanak a többezer felhasználótól gyűjtött adatokban. Támadást csak később, akkor indítanak, amikor a sikerszint lényegesen magasabb.