Фото: pixabay

Создан новый способ противодействия атакам на захват учетных записей смартфонов

Исследователи в области компьютерных наук разработали новый способ выявления слабых мест в системе безопасности, которые делают людей уязвимыми для атак по захвату учетных записей, когда хакер получает несанкционированный доступ к онлайн-аккаунтам.

Большинство мобильных устройств в настоящее время являются домом для сложной экосистемы взаимосвязанного операционного программного обеспечения и приложений, и по мере расширения связей между онлайн-сервисами у хакеров появляются возможности использовать слабые места в системе безопасности, что часто приводит к катастрофическим последствиям для их владельцев.

Доктор Лука Арнаболди из Школы компьютерных наук Бирмингемского университета объясняет: “Уловка заглядывать кому-то через плечо, чтобы узнать его PIN-код, хорошо известна. Однако конечная цель злоумышленника — получить доступ к приложениям, которые хранят огромное количество личной информации и могут предоставить доступ к таким аккаунтам, как Amazon, Google, X, Apple Pay и даже к банковским счетам”.

Чтобы понять и предотвратить эти атаки, исследователям пришлось проникнуть в сознание хакера, который может построить сложную атаку, комбинируя более мелкие тактические шаги.

До сих пор уязвимости в системе безопасности изучались с помощью «графиков доступа к учетной записи», на которых показаны телефон, SIM-карта, приложения и функции безопасности, ограничивающие каждый этап доступа.

Однако графики доступа к учетной записи не моделируют захват учетной записи, когда злоумышленник отключает устройство или приложение от экосистемы учетной записи, например, вынимая SIM-карту и вставляя ее во второй телефон. Поскольку SMS-сообщения будут видны на втором телефоне, злоумышленник может использовать методы восстановления пароля с помощью SMS.

Исследователи преодолели это препятствие, разработав новый способ моделирования изменения доступа к учетной записи по мере отключения устройств, SIM-карт или приложений от экосистемы учетной записи.

Их метод, основанный на формальной логике, используемой математиками и философами, отражает выбор, с которым сталкивается хакер, имеющий доступ к мобильному телефону и PIN-коду.

Специалисты ожидают, что этот подход, который опубликован в Материалах 28-го Европейского симпозиума по исследованиям в области компьютерной безопасности (ESORICS 23), будет принят производителями устройств и разработчиками приложений, которые хотят каталогизировать уязвимости и углубить свое понимание сложных хакерских атак.

В опубликованном отчете также подробно описывается, как исследователи проверили свой подход на соответствие заявлениям, сделанным в отчете Wall Street Journal, в котором предполагалось, что стратегия атаки, используемая для доступа к данным и банковским счетам на iPhone, может быть воспроизведена на Android, хотя о таких атаках не сообщалось.

Приложения для Android устанавливаются из Play Store, для установки требуется учетная запись Google, и исследователи обнаружили, что это подключение обеспечивает некоторую защиту от атак. В их работе также предложено исправление безопасности для iPhone.

Поделиться:

Подписывайтесь на краткие, но содержательные новости со всего мира
глазами молодого поколения в Телеграм и ВКонтакте.

Почитайте также

Использование смартфонов в раннем возрасте усугубляет проблемы с психикой

226 Недавнее исследование, проведенное компанией Sapien Labs, выявило устойчивую связь между возрастом, когда ребенок впервые …