Группа исследователей из Кембриджского университета обнаружила, что, используя программу под названием PIN Skimmer, можно определить коды доступа, введенные с виртуальной клавиатуры смартфона.

Программа следит за лицом человека через камеру и слушает клики через микрофон.

Сопоставляя информацию о том, куда смотрит человек, и звук, который слышится при нажатии той или иной цифры, программа, сделав поправку на движение смартфона при нажатии на виртуальную клавиатуру, определяет код доступа к телефону.

Испытания проводились на смартфонах Google Nexus-S и Galaxy S3.

"Мы показали, что злоумышленники могут использовать камеру, которая включается для видеообщения или распознавания черт лица", – утверждают авторы исследования профессор Росс Андерсон и Лоран Симон.

"Мы были удивлены тем, как хорошо работает программа", – сообщил Би-би-си Росс Андерсон, профессор инженерной безопасности в Кембриджском университете.

Из пяти попыток программа успешно определила четырехзначный ПИН-код в трех случаях. Когда ПИН-коды были восьмизначными, успешными оказались 60% из 10 попыток.

Пользователи смартфонов часто используют ПИН-код, чтобы закрывать посторонним доступ к своему телефону, но эти же коды все чаще используются для доступа к другим типам приложений на смартфоне, в том числе банковских.

Одно из предложений по предотвращению нежелательного распознавания ПИН-кода заключается в использовании более длинных ПИН-кодов. Исследователи, однако, предупреждают, что это может повлиять на "запоминаемость и удобство".

Можно менять расположение цифр на клавиатуре, но ученые считают, что это "усложнит пользование телефонами".

Более радикальными решениями были бы избавиться от паролей вообще и вместо них использовать отпечатки пальцев или распознавание лиц.

"Если вы разрабатываете приложения, связанные с деньгами, вам лучше знать, что эти риски существуют", – предупреждает профессор Андерсон.

Первоисточник: »