В смартфонах на Android нашли критическую «шпионскую» уязвимость: ваши данные могут быть в опасности
Ученые смогли найти серьезную уязвимость на Android-смартфонах. Дело в том, что их графический процессор позволяет «подсматривать» за тем, что вы вводите при помощи экранной клавиатуры
Новое исследование ученых из Питтсбургского университета показало, что графический процессор (GPU) в некоторых смартфонах на Android может использоваться для кражи учетных данных пользователей в момент, когда пользователь вводит их с помощью экранной клавиатуры смартфона. Эта уязвимость аппаратной безопасности представляет гораздо более серьезную угрозу конфиденциальным персональным данным пользователя по сравнению с ранее найденными уязвимостями. Например, найденный бэкдор позволяет узнать длину пароля пользователя и даже посмотреть, на какие сайты он заходит.
«Наши эксперименты показывают, что такая уязвимость может позволить правильно ввести учетные данные пользователя, такие как его имя пользователя и пароль без всяких системных привилегий и не вызывая каких-либо заметных изменений в работе или производительности устройства. Пользователи не смогут понять, когда произошел взлом, — сказал Вэй Гао, доцент кафедры электротехники и вычислительной техники, один из авторов исследования. - Важно было дать производителям понять, что телефон уязвим для подслушивания, чтобы они могли внести изменения в работу аппаратного обеспечения».
Как работает уязвимость в телефонах на Android
Графический процессор телефона обрабатывает все изображения, появляющиеся на экране, включая всплывающие анимации при нажатии буквы на экранной клавиатуре. Исследователи смогли правильно определить, какие буквы или цифры были нажаты более чем в 80 процентах случаев, основываясь только на том, как графический процессор создает отображаемую анимацию клавиатуры.
«Если бы кто-то воспользовался этой слабостью, он мог бы создать безвредное приложение — например, игру или другое приложение — и внедрить в него вредоносный код, который будет работать в фоновом режиме, даже если пользователь не играет, — сказал Гао. - Наша экспериментальная версия этой атаки может быть успешно нацелена на имена пользователей и пароли, вводимые в приложениях и веб-сайтах онлайн-банкинга, инвестиций и кредитной отчетности, и мы доказали, что встроенные вредоносные коды в приложении не обнаруживает даже Google Play Store».