PIN-код
 
2018/01/11 13:27:49

Personal Identification Number (PIN)
Персональный идентификационный номер
Секретный ключ, код доступа

Аналог собственноручной подписи, представленный в виде цифро-буквенной последовательности, закрытый реквизит Клиента, Агента, Участника Системы электронной платежной системы.

Содержание

2017

Нейросеть подсмотрела PIN-код смартфона в данных акселерометра

Нейросеть научили распознавать PIN-код пользователя по данным с акселерометра, датчика освещенности и других сенсоров смартфонов с точностью 84 процентов. Разработчики отмечают, что для доступа к этим сенсорам приложениям не нужно запрашивать разрешение пользователя, сообщается в исследовании, препринт которого опубликован Cryptology ePrint Archive[1][2].

Современные смартфоны могут содержать большое количестве конфиденциальной информации: историю переписки, приложения для управления банковским счетом или важные документы. Из-за этого злоумышленники разрабатывают новые способы взламывать смартфоны, причем, не все из них делают это напрямую с помощью уязвимостей в программном обеспечении. Некоторые разработчики создают методы взлома, в основе которых лежит принцип атаки по сторонним каналам. Он подразумевает, что атака производится не на систему как таковую, а на ее практическую реализацию — например, можно узнать производимые процессором операции и их параметры, измеряя его энергопотребление.

Пример ввода комбинации 0852 на графике данных с акселерометра. David Berend et al. / Cryptology ePrint Archive, 2017

Исследователи в области информационной безопасности под руководством Шивама Бхасина (Shivam Bhasin) из Наньянского технологического университета в Сингапуре использовали для незаметного определения PIN-кода смартфона данные с его датчиков. Они написали приложение для Android-смартфонов, которое собирает данные с датчиков, а затем отсылает их на сервер для анализа. Разработчики выбрали шесть датчиков, которые присутствуют в большинстве современных смартфонов, и при этом для их использования приложению не нужно получать разрешение пользователя: акселерометр, гироскоп, датчик вращения, магнитометр и датчик освещенности.

Поскольку цифры на клавиатуре расположены в известных местах, по наклону устройства или изменению количества света, попадающего на датчик освещенности можно вычислить на какую клавишу нажал пользователь, без необходимости в данных непосредственно с сенсорного экрана. Для того, чтобы автоматически вычислять цифры из большого объема данных исследователи задействовали разные алгоритмы, но в итоге остановились на типе нейросети, называемом многослойным перцептроном.

Протестировав работу нейросети на добровольцах, исследователи выяснили, что при тестах на всех десяти тысячах возможных комбинациях четырех цифр точность распознавания при 20 попытках составила 83,7 процентов, а при распознавании среди 50 самых распространенных PIN-кодов точность составила 99,5 процентов с одной попытки. Исследователи также выяснили, что данные с разных датчиков давали разную эффективность, а наилучшие результаты дали комбинированные данные с акселерометра и гироскопа.

Разработка стандарта безопасности для PIN-on-Glass

Как стало известно в начале декабря 2017 года, ведутся работы над стандартом безопасности для PIN-on-Glass, который может быть готов уже в декабре 2017 года.

Технология PIN-on-Glass обеспечивает возможность ввода проверочного кода PIN на экране смартфона, планшета или другого коммерческого устройства. Ожидается, что скоро с помощью этой технологии покупатели во всем мире смогут вводить персональный идентификационный номер на экране своего устройства для совершения покупок.

Как пояснил главный технический директор Совета по стандартам безопасности PCI Трой Лич, особенность технологии в том, что ввод PIN-кода будет осуществляться на устройствах COTS (коммерческие устройства), не предназначенных исключительно для оплаты.

С целом стандарт на ввод ПИН-кода через приложение — это один из семи PCI стандартов, опубликованных или обновленных в 2017 году. Данный стандарт позволяет отделить ПИН от другой информации счета. Предполагается, что изолирование ПИН-кода от другой информации поможет предотвратить атаки мошенников, нацеленные на кражу платежных данных в общественных местах, добавил Лич.

Три главных компонента стандарта для PIN-on-Glass:

  • Изолирование PIN от PAN. 
    • Рассматриваются требования программного обеспечения для платежных приложений, которые управляют транзакциями на коммерческих устройствах. Для создании изоляции необходимо обеспечить возможность вводить номер счета таким способом, чтобы он не мог быть дешифрован на коммерческих устройствах.

  • Безопасность программного обеспечения. 

    • В целях обеспечения должной защиты ПИН-информации необходимо повышение безопасности коммерческих устройств.

  • Мониторинг. 

    • Удаленный контроль должен быть обеспечен независимой стороной, чтобы подтвердить, что программное обеспечение коммерческих устройств и транзакция имеют целостность и ведут себя должным образом, а также, чтобы найти различные виды подозрительной активности.[3]

Любой iPhone можно взломать через новую «дыру» в JavaScript

Следите за пальцами

Исследователи вопросов безопасности из университета Ньюкасла в Великобритании опубликовали работу в издании Journal of Infermation Security, в которой описали возможность отслеживать пользовательские жесты на смартфонах. Для этого потребуется лишь небольшое приложение на JavaScript, которое эксплуатирует программные интерфейсы (API) сенсоров движения устройства[4].

По утверждению авторов исследования, это приложение может собрать достаточно информации с сенсоров, чтобы в 70% случаев выяснить комбинацию разблокировки с первой попытки. С третьей попытки скрипт PINlogger.js «угадывает» PIN в 94% случаев.

«Большая часть смартфонов, планшетов и других носимых устройств сегодня оснащены множеством сенсоров, в диапазоне от общеизвестных GPS-модулей, камер и микрофонов до гироскопов, сенсоров дальности и вращения, акселерометров, а также NFC-модулей. Поскольку мобильные приложения и вебсайты не нуждаются в специальных разрешениях на доступ к большинству из них, вредоносные программы могут тайно шпионить за потоками данных с ваших сенсоров и использовать их для получения широкого диапазона важных сведений о вас, в том числе, о продолжительности звонков, физической активности и даже... о PIN и паролях», — говорится в публикации исследователей.

И это еще не все

Как отметила в пресс-релизе руководитель исследовательской группы доктор Мариам Мернежад (Maryam Mehrnezhad), ее коллегам удалось выяснить, что в нескольких мобильных браузерах вредоносный код, встроенный в одну страницу, может следить за всеми действиями пользователя на всех остальных вкладках. То есть, например, если в одной вкладке открыт ресурс, содержащий вредоносный скрипт, а в другой — страница авторизации банка, то скрипт все равно может перехватывать введенные пользователем данные. Иногда предотвратить это поможет закрытие «вредоносной» вкладки, иногда — только закрытие браузера целиком.

Примечания