Tuesday, November 1, 2011

ציתות למקלדת בעזרת חיישנים אינרטיים של טלפונים חכמים

כתבתי מאמר הסבר קצר שעוסק ב-ציתות למקלדת בעזרת חיישנים אינרטיים של טלפונים חכמים. המאמר פורסם בגליון 26 של  DigitalWhisper.


הנה קישור ישיר למאמר (PDF):
http://www.digitalwhisper.co.il/files/Zines/0x1A/DW26-5-KeyloggingPhones.pdf

ניתן להשתמש בחיישנים האינרטיים של טלפונים חכמים (לרבות אקסלרומטר וג'יירוסקופ) כדי לחוש את תנודות טפיפות אצבעות הידיים על מקלדת.


דמיינו לעצמכם שבשעה שאתם עובדים על המחשב ניגש אליכם אדם ששואל אתכם שאלה או שנמצא בקרבת שולחן העבודה שלכם.  אתם ערניים מאוד ואפילו מספיקים להאפיל את המסך ולנעול אותו או אפילו את החשבון שלכם לפני שהאדם מתקרב.  נפלא.  הוא נעצר לידכם נשען על שולחן העבודה ומניח את הטלפון הנייד שלו תוך כדי כך.  הוא משוחח עמכם ואגב כך מסתובב ומחליף מילה עם אדם שעובד בסמוך אליכם ואז עוזב.  אתם כבר איבדתם קשב כי כל מה שעניין אותכם זה שהוא עזב ושאתם יכולים לחזור לעבודתכם.  בשלב הבא אתם מקישים את הססמה כדי לגשת לחשבון או כדי להסיר את הנעילה
מהמסך וממשיכים בשלכם.  לא הבחנתם שהנייד של האדם נשאר אי שם על שולחן העבודה שלכם,  או שהבחנתם וחשבתם שתשיבו לו אותו אחר כך כשתקומו ממקומכם. בכך הזמן שאתם עובדים על המחשב והטלפון הזה נמצא על שולחן העבודה שלכם המכשיר מקליט את הקשות המקלדת שלכם ואולי אפילו משדר את המידע בזמן אמת דרך אינטרנט אלחוטי או אמצעי דומה. עכשיו חשבו שמישהו מצליח להכניס קוד כזה לאפליקציות שמורידים לטלפונים החכמים. הרשאות שימוש בחיישנים אינרטיים קל לנו מאוד לתת כי איך כבר יכולים להזיק לנו עם חיישן אינרטי?  הנה תרחיש שבוודאי חוזר על עצמו בכל משרד בכל מקום בעולם כל הזמן:  אתה מתיישב לעבודה על המחשב שלך ומניח את הטלפון החכם שלך לצידך על שולחן העבודה ומתחיל בעבודה. ומה אם קוד זדוני שמותקן בטלפון החכם מקליט באופן מתוחכם את הקשות המקלדת? איך זה עובד? איך עושים את זה?  מי עשה את זה כבר?  איך להתגונן מפני זה?  מה הלקחים? בתשובות לשאלות הללו עוסק המאמר.