19.05 // Датчики освещённости — новый канал утечки информации


Современные смартфоны — это мобильные устройства, оснащённые сравнительно производительными процессорами и множеством датчиков. Традиционное беспокойство по поводу утечки информации через датчики касалось видеокамер и микрофонов. Позднее было обнаружено, что акселерометры (датчики перемещения на основе изменения ускорений) могут давать утечку сведений о набираемых на мобильном устройстве данных: нажатие на тачскрин даёт характерные профили на выходе датчиков.

Исследователь Raphael Spreitzer из Института Прикладной Информатики, Вычислений и Коммуникаций Университета Грац, Австрия[link1] обратил внимание на датчики освещённости, которые предназначены главным образом для подстройки яркости экрана. Поскольку данные от этого датчика считались несущественными, то к ним могут получить доступ без особых привилегий многие приложения. Обычно такой датчик находится рядом с камерой на лицевой панели смартфона.

Датчик освещённости и камера (28 Кб)


Однако, набор данных на смартфоне приводит к его смещению по отношению к источнику света, изменению угла положения и соответствующего профиля яркости.

Источник света и смартфон (13 Кб)


При наборе пин-кода это приводит к чётко различимым корреляциям на выходе датчика, в зависимости от набираемых цифр.

Профиль набора PIN кода (12 Кб)


Что ещё существеннее, многие датчики чувствительны к спектральному составу света и позволяют получать данные по трём цветовым составляющим (RGB-каналам), также как фото- и видеокамеры. Это позволяет увидеть ещё более точные корреляции с набираемыми данными.

Профиль набора PIN кода в RGB (27 Кб)


Автору удалось создать методику, которая позволяет превзойти акселерометрический канал утечки данных и достичь 65% распознавания PIN-кода с пяти попыток в лабораторных условиях при стабильном освещении. При этом остаются неисследованными возможности по коррекции данных в условиях нестабильного светового освещения — при просмотре TV, поездке на транспорте. Также как остаётся открытым и вопрос того, как ещё можно использовать собираемые данные с датчиков освещённости смартфонов.

Источник: arXiv.org/Cryptography and Security[link2]

Ссылки
[link1] http://www.iaik.tugraz.at/index.php

[link2] http://arxiv.org/abs/1405.3760