Похожие статьи
Исследователи в области компьютерных наук разработали новый способ выявления слабых мест в системе безопасности, которые делают людей уязвимыми для атак по захвату учетных записей, когда хакер получает несанкционированный доступ к онлайн-аккаунтам.
Большинство мобильных устройств в настоящее время являются домом для сложной экосистемы взаимосвязанного операционного программного обеспечения и приложений, и по мере расширения связей между онлайн-сервисами у хакеров появляются возможности использовать слабые места в системе безопасности, что часто приводит к катастрофическим последствиям для их владельцев.
Доктор Лука Арнаболди из Школы компьютерных наук Бирмингемского университета объясняет: “Уловка заглядывать кому-то через плечо, чтобы узнать его PIN-код, хорошо известна. Однако конечная цель злоумышленника — получить доступ к приложениям, которые хранят огромное количество личной информации и могут предоставить доступ к таким аккаунтам, как Amazon, Google, X, Apple Pay и даже к банковским счетам”.
Чтобы понять и предотвратить эти атаки, исследователям пришлось проникнуть в сознание хакера, который может построить сложную атаку, комбинируя более мелкие тактические шаги.
До сих пор уязвимости в системе безопасности изучались с помощью «графиков доступа к учетной записи», на которых показаны телефон, SIM-карта, приложения и функции безопасности, ограничивающие каждый этап доступа.
Однако графики доступа к учетной записи не моделируют захват учетной записи, когда злоумышленник отключает устройство или приложение от экосистемы учетной записи, например, вынимая SIM-карту и вставляя ее во второй телефон. Поскольку SMS-сообщения будут видны на втором телефоне, злоумышленник может использовать методы восстановления пароля с помощью SMS.
Исследователи преодолели это препятствие, разработав новый способ моделирования изменения доступа к учетной записи по мере отключения устройств, SIM-карт или приложений от экосистемы учетной записи.
Их метод, основанный на формальной логике, используемой математиками и философами, отражает выбор, с которым сталкивается хакер, имеющий доступ к мобильному телефону и PIN-коду.
Специалисты ожидают, что этот подход, который опубликован в Материалах 28-го Европейского симпозиума по исследованиям в области компьютерной безопасности (ESORICS 23), будет принят производителями устройств и разработчиками приложений, которые хотят каталогизировать уязвимости и углубить свое понимание сложных хакерских атак.
В опубликованном отчете также подробно описывается, как исследователи проверили свой подход на соответствие заявлениям, сделанным в отчете Wall Street Journal, в котором предполагалось, что стратегия атаки, используемая для доступа к данным и банковским счетам на iPhone, может быть воспроизведена на Android, хотя о таких атаках не сообщалось.
Приложения для Android устанавливаются из Play Store, для установки требуется учетная запись Google, и исследователи обнаружили, что это подключение обеспечивает некоторую защиту от атак. В их работе также предложено исправление безопасности для iPhone.
О светлом будущем заботятся политики, о светлом прошлом – историки, о светлом настоящем – журналисты.
