Java -файл на web-сайті або завантажений на мобільний пристрій додаток можуть отримати доступ до даних різних датчиків, що дозволяє обчислити пароль або PIN-код для його розблокування.
Вчені Ньюкаслського університету (Великобританія) написали скрипт, здатний отримувати дані з 25 датчиків. За допомогою цих даних зловмисник може визначити пароль сматфона. Атака можлива, оскільки мобільні операційні системи не обмежують доступ додатків (наприклад, браузерів) до датчиків.
Створений ученими Java -файл PINlogger.js отримує і реєструє дані з сенсорів. Після підтвердження браузеру або шкідливому додатком він працюватиме у фоновому режимі, поки працює з іншою програмою, PINlogger.js продовжує збирати дані з датчиків. Якщо в якийсь момент користувач введе пароль, скрипт зафіксує це і відправить дані на підконтрольний зловмисникам сервер. Чим більше сенсорів в пристрої, тим більше даних отримують злочинці і тим легше їм підібрати паролі.
За словами вчених, навчена ними штучна нейронна мережа з першого разу вирахувала вводимі користувачами 50 мобільних пристроїв чотиризначні паролі з точністю 74%. Даний показник збільшився до 86% і 94%, коли мережа вгадувала паролі з другої і третьої спроби відповідно.
Дослідники повідомили про своє відкриття розробникам браузерів, а декому з них обмежили доступ до датчиків. З виходом Firefox 46 в березні минулого року доступ Java -файлів до сенсорам пристроїв був заблокований. У той же час проблема була виправлена в Safari, однак користувачі Chrome знаходяться під загрозою.
