Специалисты по информационной безопасности из Ланкастерского университета, британского Университета Бата и китайского Северо-Западного университета научились с помощью алгоритмов компьютерного зрения подбирать графический ключ для разблокировки смартфонов на базе операционной системы Android. Доклад будет представлен на конференции NDSS 2017, краткое содержание доступно на сайте Ланкастерского университета.
Графический ключ — один из способов блокировки Android-устройств, которые, по данным авторов публикации, используют около 40 процентов пользователей. При таком способе блокировки смартфон можно разблокировать, повторив изначально заданную фигуру, которая может в разном порядке проходить через девять точек. Количество попыток на отгадывание ограничено двумя десятками или пятью, в зависимости от версии операционной системы. После того, как попытки исчерпаны, телефон блокируется и пользователю необходимо его разблокировать с помощью аккаунта google или резервного PIN-кода. В своем докладе авторы утверждают, что научились достоверно подбирать графический ключ за пять попыток.
Для того, чтобы подбирать графический ключ, авторы предлагают сначала записывать на видео владельца смартфона, который вводит ключ. Авторы отмечают, что главным условием видеозаписи должны быть видимые в кадре пальцы, а не экран смартфона — таким образом, злоумышленник может сделать необходимую видеозапись не привлекая внимания окружающих.
В зависимости от качества камеры расстояние до смартфона жертвы может варьироваться — для расстояния до двух с половиной метров подходит камера мобильного телефона, а при использовании однообъективной зеркальной камеры можно «шпионить» с расстояния до девяти метров. После этого исследователи с помощью разработанного алгоритма машинного зрения анализируют движения пальцев и могут подобрать наиболее вероятные варианты графического ключа.
Для проверки своей методики исследователи протестировали 120 разных графических ключей, которые вводили разные пользователи. В результате авторам публикации удалось подобрать графический ключ за пять попыток или меньше в 95 процентах случаев. При этом специалисты по информационной безопасности отметили, что частая смена направления движения пальца, несмотря на более сложную итоговую фигуру, на самом деле упрощает задачу подбора для анализирующего алгоритма. Для повышения безопасности авторы предлагают закрывать второй рукой экран смартфона при его разблокировке, а также использовать дополнительные обманные движения пальцами.
Два года назад стало известно о масштабной уязвимости в библиотеке Stagefright операционной системы Android. Уязвимости были подвержены 950 миллионов устройств (95 процентов от общего количества Android-гаджетов), а для взлома достаточно было прислать специально подготовленное MMS-сообщение. Позднее компания Zimperium выпустила приложение, которое позволяет проверить устройство на наличие распространенной уязвимости операционных систем семейства Android.