Британские исследователи из Ньюкасла с помощью небольшого приложения JavaScript смогли взломать iPhone. Оно использует API сенсоров движения гаджета и в состоянии вычислить PIN-код, который набирает владелец смартфона.
С первого раза приложение в состоянии распознать PIN в 70% случаев, с третьей попытки — в 94%.
Мобильные приложения и сайт не должны иметь специальных разрешений, чтобы получать доступ к потоку данных с сенсоров. Именно эту информацию использовали исследователи для взлома iPhone.
Также они выяснили, что в некоторых мобильных браузерах вредоносный код, встроенный в одну страницу позволяет следить за действиями пользователя на всех открытых вкладках. В итоге собрать данные об активности пользователя оказывается намного проще, чем представлялось ранее. Ведь каждое прикосновение к экрану отражается в системе уникальным набором данных, который включает не только область дисплея, но и его положение в пространстве. Поэтому распознать прикосновения при наборе защитного кода не такая сложная задача.
Интересно, что защиты от данного способа взлома не существует, так как фактически оно предполагает отказ от сенсоров. Mozilla и Apple предложили частичные решения, которые срабатывают не во всех случаях.
