Mozgásérzékelővel lehet jelszót lopni Androidról

A Google Android szoftverét támadni képes TapLogger nevű trójai adattolvaj programból egyelőre még csak egy demonstrációs célból készült változat létezik, amelyet it-biztonsági kutatók készítettek el. A kártevő újdonsága abban rejlik, hogy teljesen új, bonyolult, de a felhasználó által észlelhetetlen módszerrel képes jelszavakat lopni az okostelefonról. Ahelyett ugyanis, hogy településkor engedélyt kérne a készüléken tárold adatokhoz való hozzáféréshez - ami egy játék esetében elég gyanús lenne -, a kártevő a készülék beépített mozgásérzékelőjét használja a jelszavak kinyeréséhez - számolt be az Ars Technica nevű amerikai technológiai hírportál.

A kártevőt egy olyan játékprogramnak álcázták, amelyben a játékosnak képernyőn megjelenő ikonok közül kell kiválasztania a hasonlókat. Ez a feladat azonban valójában nem öncélú, hanem azt szolgálja, hogy a kártevő a műveletek segítségével be tudja kalibrálni a telefon gyorsulásérzékelőjét, giroszkópját. Az ikonos játék végigpróbálgatásával a telefon rögzíteni tudja, hogy a képernyő egyes részeinek lenyomása a telefon milyen jellegű elmozdulását idézi elő. Miután a készülékek virtuális billentyűzete is a képernyőn jelenik meg, a kártevő képes arra, hogy a mozgásérzékelő szenzorok segítségével határozza meg a leütött karaktereket, így PIN-kódokat vagy jelszavakat szerezve meg.

Az Ars Technicának a kísérleti kártevő megalkotói úgy nyilatkoztak, hogy az új típusú adattolvaj kártevő létrehozását az teszi lehetővé, hogy az Android rendszerekre feltelepülő alkalmazások mindegyikének alapból hozzáférése van a telefonok szenzoraihoz, hiszen például ezek segítenek a képernyő álló és fekvő módja közötti váltásban is. Az iOS-t futtató eszközöket hasonló sérülékenység nem érinti csak akkor, ha a készülék szoftverét feltörték. Ugyanakkor az adatrabló program széles körű elterjedését jelentősen gátolhatja, hogy csak akkor képes hatékonyan működni, ha a kalibrálást biztosító játékkal viszonylag sokat játszanak.