Dispozitivele smartwatch pot intercepta codul PIN, tastat de utilizatori la ATM-urile bancare

Potrivit unui renumit expert în securitate, abundenţa de senzori încorporaţi în dispozitivele smartwatch poate permite unui hacker să afle codul PIN tastat pentru folosirea ATM-urilor bancare, doar pe baza mişcărilor mâinii.

• Test de cultură generală. Ce este mai mare decât un terabyte?
• Trucul simplu care reduce consumul de energie al centrelor de date cu 30%

În demonstraţia făcută cu ocazia conferinţei ASIACCS (Association for Computing Machinery Asia Conference on Computer and Communications Security), organizată luna trecută în oraşul Xi’an din China, echipa de cercetători condusă de expertul în securitate Yan Wang a reuşit să identifice cu acurateţe de 80% codul numeric tastat la consola unui ATM, scrie Go4it.

Fără a avea nevoie de camere video, sistemul bazat exclusiv pe senzorii încorporaţi într-un smartwatch poate diferenţia chiar şi cele mai subtile mişcări ale mâinii, gestul de acoperire a palmei în timpul tastării pentru a opri privirile indiscrete devenind practic inutil.

Cercetătorii au testat cu succes noua metodă de interceptare folosind smartwatch-uri din seria LG W150, Moto360 şi Invensense MPU-9150, însă numărul dispozitivelor vulnerabile este cu siguranţă mult mai mare. Pentru ca metoda să funcţioneze, este necesară infiltrarea unei aplicaţii compromisă pe dispozitivul vizat. Alternativ, coordonatele de mişcare folosite pentru extrapolarea codului tastat pot fi obţinute şi interceptând conexiunea Bluetooth între dispozitivul smartwatch şi telefonul mobil, fără a fi necesară instalarea unei aplicaţii malware.

Odată depăşit acest prim obstacol, o eventuală grupare de hackeri nu trebuie decât să potrivească codurile PIN recepţionate de pe dispozitivele compromise cu datele cardurilor bancare înregistrate folosind dispozitive de tip skimmer, comparând data şi ora la care au fost obţinute, respectiv coordonatele GPS ale bancomatului vizitat (dacă sunt ţintite mai multe ATM-uri simultan).

Avantajul pentru atacator este că nu trebuie să se afle în imediata vecinătate a ATM-urilor vizate şi nici a victimelor, datele cardurilor de credit şi codurile PIN putând fi trimise la distanţă folosind conexiunea wireless a dispozitivului purtat la mână, respectiv skimmer-ul prevăzut cu modul GSM şi acces la internet mobil.

Momentan, singura soluţie sigură pentru a împiedica interceptarea codului PIN este să nu îl tastăm cu mâna la care purtăm dispozitive smart, respectiv să acoperim consola numerică pentru preveni interceptarea acestuia pe cale vizuală.

Sursa: Go4it