Может ли ваш смартфон шпионить за вами?
Будем надеяться, что нет, а если и так, то ненадолго, благодаря команде исследователей из Инженерной школы Суонсона Университета Питтсбурга.
Их недавнее исследование показало, что графический процессор (GPU) в некоторых Android-смартфонах может использоваться для прослушивания учетных данных пользователя, когда пользователь вводит эти учетные данные с помощью экранной клавиатуры смартфона , что делает его эффективной целью для взлома. Эта уязвимость аппаратной безопасности представляет гораздо более серьезную угрозу конфиденциальным личным данным пользователя по сравнению с предыдущими атаками, которые могут сделать вывод только об общих действиях пользователя, таких как посещаемый веб-сайт или длина вводимого пароля.
«Наши эксперименты показывают, что наша атака может правильно определить вводимые пользователем учетные данные, такие как имя пользователя и пароль, не требуя каких-либо системных привилегий или вызывая какие-либо заметные изменения в работе или производительности устройства. Пользователи не смогут определить, когда это происходит. », — сказал Вэй Гао, доцент кафедры электротехники и вычислительной техники, чья лаборатория руководила исследованием. «Было важно, чтобы производители знали, что телефон уязвим для прослушивания, чтобы они могли вносить изменения в оборудование».
Графический процессор телефона обрабатывает все изображения, появляющиеся на экране, включая анимацию всплывающих окон при нажатии буквы на экранной клавиатуре. Исследователи смогли правильно определить, какие буквы или цифры были нажаты более 80% времени, основываясь только на том, как графический процессор воспроизводит отображаемую анимацию клавиатуры.
«Если бы кто-то воспользовался этой слабостью, он мог бы создать безопасное приложение — например, игру или другое приложение — и внедрить в него вредоносный код , который будет работать в фоновом режиме после его установки», — сказал Гао. «Наша экспериментальная версия этой атаки может успешно атаковать имена пользователей и пароли, вводимые в приложениях и веб-сайтах для онлайн-банкинга , инвестиций и кредитной отчетности, и мы доказали, что встроенные в приложение вредоносные коды не могут быть правильно обнаружены магазином Google Play. »
Исследователи сосредоточили свои эксперименты на графическом процессоре Qualcomm Adreno, но этот метод потенциально может быть использован и для других графических процессоров. Команда сообщила о своих выводах в Google и Qualcomm, и Google подтвердил, что позже в этом году они выпустят обновление безопасности Android, чтобы решить эту проблему.
Документ «Подслушивание учетных данных пользователя через сторонние каналы графического процессора на смартфонах» был написан в соавторстве с Боюаном Янгом, Жуйронгом Ченом, Кай Хуаном, Цзюнь Яном и Вей Гао. Он был представлен на конференции ASPLOS, проходившей с 28 февраля по 4 марта 2022 г. в Лозанне, Швейцария.
