×

Nós usamos os cookies para ajudar a melhorar o LingQ. Ao visitar o site, você concorda com a nossa política de cookies.


image

Swiat w Trzy Minuty, Jak wykraść hasło z telefonu?

Jak wykraść hasło z telefonu?

Czy wydaje ci się, że jeśli nie stoisz pod kamerą i nikt nie zagląda ci przez ramię, to twoja aktywność na smartfonie jest tajemnicą? I że bezpieczniej jest wpisywać hasła na telefonie, niż na komputerze? Jeśli tak, możesz zacząć się bać. 52. odcinek Świata w trzy minuty – o cyberbezpieczeństwie. A raczej jego braku. Zapraszam! Jednym z tematów, które staram się śledzić na bieżąco, jest cyberbezpieczeństwo. Kreatywność specjalistów od bezpieczeństwa jest wprost niesamowita. W ostatnim czasie światło dzienne ujrzał nowy sposób podglądania tego, co robimy na telefonie. Badacze z Newcastle University wzięli na warsztat współczesne smartfony i tablety, które są nie tylko małymi komputerami, ale też mają mnóstwo dodatkowych czujników. Na przykład pozwalających zbadać, pod jakim kątem nachylone jest urządzenie czy wykryć jego ruch w przestrzeni. W przeważającej liczbie wypadków przydaje się to do gier czy programów nawigacyjnych. Dostęp do danych o ruchu urządzenia wydaje się też mieć mały wpływ na prywatność, więc większość systemów pozwala je odczytywać bez konieczności każdorazowego zatwierdzenia przez użytkownika. Co, w dużym skrócie oznacza, że sięgnąć po nie może aplikacja ukryta w kodzie strony internetowej. Co możemy zrobić z takimi danymi? Do tej pory myśleliśmy, że nic. Okazuje się jednak, że każde nasze dotknięcie ekranu – kliknięcie, przesunięcie palca, przytrzymanie – generuje charakterystyczny ruch całego urządzenia. Który po przepuszczeniu przez sztuczną inteligencję (to temat na inny odcinek, ale sieci neuronowe stają się coraz tańsze i coraz bardziej wydajne) pozwalają na zdekodowanie naszych kliknięć z dużym prawdopodobieństwem sukcesu. PINLogger, eksperymentalny kod przygotowany przez badaczy, w pierwszym podejściu zgadł wpisywany kod PIN z dokładnością 74%, w trzecim – z dokładnością 94%. Czy to dla nas problem? Niestety, tak. Telefon jest kluczowym elementem, który pozwoli dotrzeć do naszej poczty, bazy haseł, konta bankowego oraz potwierdzenia tożsamości w systemie e-administracji. W momencie, gdy w tle będziemy mieli otwartą stronę internetową zawierającą śledzący nas kod, większość naszych działań na telefonie przestaje być tajemnicą. Wystarczy, że spróbujemy na telefonie wpisać swoje hasło do poczty czy banku albo napiszemy romantycznego SMSa, włamywacz będzie miał o nim informację bez konieczności włamywania się na nasze urządzenie. A jak pokazał przykład sprzed kilku miesięcy, nawet strona Komisji Nadzoru Finansowego może być wykorzystana do przeprowadzenia ataku na niczego nieświadomych użytkowników. Jak się bronić? Na razie jest to trudne. W chwili ujawnienia nowego sposobu ataku, jedynie mobilne wersje Firefoksa i Safari częściowo ograniczyły stronom internetowym dostęp do czujników. Z drugiej strony, spowodowało to oczywiście kłopot ze stronami, które taki dostęp powinny mieć. Co w dużym skrócie oznacza, że na uniwersalne rozwiązanie przyjdzie nam jeszcze poczekać – a część telefonów odpowiedniej aktualizacji nigdy nie otrzyma. Bo kto, poza Apple (tu wielki ukłon w stronę tej firmy) przygotowuje aktualizacje na przedpotopowe modele? I to tyle w 52. odcinku Świata w trzy minuty. Usłyszymy się za tydzień – a w międzyczasie zapraszam na stronę TrzyMinuty.com, gdzie znajdziesz odnośniki do materiałów źródłowych dzisiejszego odcinka oraz, oczywiście, pełne archiwum. Zajrzyj też na Podkasterzy.pl, gdzie wkrótce pojawi się ciekawa informacja. Dzięki i do usłyszenia! Źródła: How criminals can steal your PIN by tracking the motion of your phone (komunikat prasowy) Stealing PINs via mobile sensors: actual risk versus user perception (praca naukowa) Attackers can steal smartphone users' PINs by tapping into data collected by mobile sensors (media o problemie)


Jak wykraść hasło z telefonu? Wie kann man ein Passwort von einem Telefon stehlen? Come si ruba una password da un telefono? Як викрасти пароль з телефону?

Czy wydaje ci się, że jeśli nie stoisz pod kamerą i nikt nie zagląda ci przez ramię, to twoja aktywność na smartfonie jest tajemnicą? Do you think that if you're not standing under the camera and no one is looking over your shoulder, your smartphone activity is a secret? Pensez-vous que si vous n'êtes pas sous la caméra et que personne ne regarde par-dessus votre épaule, votre activité sur le smartphone est un secret? I że bezpieczniej jest wpisywać hasła na telefonie, niż na komputerze? And that it is safer to enter passwords on the phone than on the computer? Et qu'il est plus sûr de saisir des mots de passe sur le téléphone que sur l'ordinateur? Jeśli tak, możesz zacząć się bać. If so, you may start to get scared. Si c'est le cas, vous pouvez commencer à avoir peur. 52\. odcinek Świata w trzy minuty – o cyberbezpieczeństwie. 52 \\. episode of The World in Three Minutes - about cybersecurity. 52 \\. épisode du Monde en trois minutes - sur la cybersécurité. A raczej jego braku. Or rather, the lack of it. Ou plutôt son absence. Zapraszam! Bienvenue! Jednym z tematów, które staram się śledzić na bieżąco, jest cyberbezpieczeństwo. L'un des sujets que j'essaie de suivre est la cybersécurité. Kreatywność specjalistów od bezpieczeństwa jest wprost niesamowita. The creativity of the security specialists is amazing. La créativité des spécialistes de la sécurité est tout simplement incroyable. W ostatnim czasie światło dzienne ujrzał nowy sposób podglądania tego, co robimy na telefonie. Recently, a new way of watching what we do on the phone has seen the light of day. Récemment, une nouvelle façon de prévisualiser ce que nous faisons sur le téléphone a vu le jour. Badacze z Newcastle University wzięli na warsztat współczesne smartfony i tablety, które są nie tylko małymi komputerami, ale też mają mnóstwo dodatkowych czujników. Researchers from Newcastle University took on modern smartphones and tablets, which are not only small computers, but also have a lot of additional sensors. Des chercheurs de l'Université de Newcastle ont participé à l'atelier sur les smartphones et tablettes modernes, qui ne sont pas seulement de petits ordinateurs, mais disposent également de nombreux capteurs supplémentaires. Na przykład pozwalających zbadać, pod jakim kątem nachylone jest urządzenie czy wykryć jego ruch w przestrzeni. For example, allowing to examine the angle at which the device is inclined or to detect its movement in space. Par exemple, vous permettant d'examiner l'angle de l'appareil ou de détecter son mouvement dans l'espace. W przeważającej liczbie wypadków przydaje się to do gier czy programów nawigacyjnych. In the vast majority of cases, it is useful for games or navigation programs. Dans la plupart des cas, il est utile pour les jeux ou les programmes de navigation. Dostęp do danych o ruchu urządzenia wydaje się też mieć mały wpływ na prywatność, więc większość systemów pozwala je odczytywać bez konieczności każdorazowego zatwierdzenia przez użytkownika. L'accès aux données de trafic des appareils semble également avoir un faible impact sur la confidentialité, de sorte que la plupart des systèmes vous permettent de les lire sans avoir à chaque fois l'approbation de l'utilisateur. Co, w dużym skrócie oznacza, że sięgnąć po nie może aplikacja ukryta w kodzie strony internetowej. Which, in a nutshell, means that they can be reached by an application hidden in the website code. Ce qui, en résumé, signifie que l'application cachée dans le code du site Web ne peut pas l'atteindre. Co możemy zrobić z takimi danymi? What can we do with such data? Que pouvons-nous faire avec ces données? Do tej pory myśleliśmy, że nic. Until now, we thought nothing. Jusqu'à présent, nous ne pensions à rien. Okazuje się jednak, że każde nasze dotknięcie ekranu – kliknięcie, przesunięcie palca, przytrzymanie – generuje charakterystyczny ruch całego urządzenia. It turns out, however, that each touch of the screen - clicking, sliding, holding - generates a characteristic movement of the entire device. Il s'avère cependant que chaque fois que nous touchons l'écran - cliquer, déplacer votre doigt, le maintenir enfoncé - génère un mouvement caractéristique de l'ensemble de l'appareil. Który po przepuszczeniu przez sztuczną inteligencję (to temat na inny odcinek, ale sieci neuronowe stają się coraz tańsze i coraz bardziej wydajne) pozwalają na zdekodowanie naszych kliknięć z dużym prawdopodobieństwem sukcesu. Which, after passing through artificial intelligence (this is a topic for another episode, but neural networks are becoming cheaper and more efficient) allow us to decode our clicks with a high probability of success. Ce qui après avoir traversé l'intelligence artificielle (c'est un sujet pour un autre épisode, mais les réseaux de neurones deviennent moins chers et plus efficaces) nous permet de décoder nos clics avec une forte probabilité de succès. PINLogger, eksperymentalny kod przygotowany przez badaczy, w pierwszym podejściu zgadł wpisywany kod PIN z dokładnością 74%, w trzecim – z dokładnością 94%. The PINLogger, an experimental code prepared by researchers, guessed the PIN code entered with an accuracy of 74% in the first attempt, with an accuracy of 94% in the third attempt. PINLogger, un code expérimental préparé par des chercheurs, dans la première tentative a deviné le code PIN entré avec une précision de 74%, dans le troisième - avec une précision de 94%. Czy to dla nas problem? Is that a problem for us? Est-ce un problème pour nous? Niestety, tak. Telefon jest kluczowym elementem, który pozwoli dotrzeć do naszej poczty, bazy haseł, konta bankowego oraz potwierdzenia tożsamości w systemie e-administracji. Le téléphone est un élément clé qui nous permettra d'accéder à notre messagerie électronique, à notre base de données de mots de passe, à notre compte bancaire et à notre confirmation d'identité dans le système de gestion électronique. W momencie, gdy w tle będziemy mieli otwartą stronę internetową zawierającą śledzący nas kod, większość naszych działań na telefonie przestaje być tajemnicą. Au moment où nous ouvrons le site Web en arrière-plan contenant le code qui nous suit, la plupart de nos activités par téléphone cessent d'être secrètes. Wystarczy, że spróbujemy na telefonie wpisać swoje hasło do poczty czy banku albo napiszemy romantycznego SMSa, włamywacz będzie miał o nim informację bez konieczności włamywania się na nasze urządzenie. All we have to do is try to enter our email or bank password on the phone or write a romantic SMS, the burglar will have information about it without having to break into our device. Tout ce que vous avez à faire est d'essayer d'entrer votre e-mail ou votre mot de passe bancaire sur votre téléphone ou d'écrire un SMS romantique, le cambrioleur aura des informations à ce sujet sans avoir à pirater notre appareil. A jak pokazał przykład sprzed kilku miesięcy, nawet strona Komisji Nadzoru Finansowego może być wykorzystana do przeprowadzenia ataku na niczego nieświadomych użytkowników. And as the example from a few months ago showed, even the website of the Polish Financial Supervision Authority can be used to attack unsuspecting users. Et comme l'a montré l'exemple d'il y a quelques mois, même le site Web de l'Autorité polonaise de surveillance financière peut être utilisé pour lancer une attaque contre des utilisateurs sans méfiance. Jak się bronić? How to defend yourself? Comment se défendre Na razie jest to trudne. It is difficult for now. Pour l'instant, c'est difficile. W chwili ujawnienia nowego sposobu ataku, jedynie mobilne wersje Firefoksa i Safari częściowo ograniczyły stronom internetowym dostęp do czujników. When the new attack method was revealed, only the mobile versions of Firefox and Safari partially restricted websites from accessing sensors. Au moment où la nouvelle attaque a été révélée, seules les versions mobiles de Firefox et Safari empêchaient partiellement les sites Web d'accéder aux capteurs. Z drugiej strony, spowodowało to oczywiście kłopot ze stronami, które taki dostęp powinny mieć. On the other hand, it obviously caused a problem for the parties that should have such access. D'un autre côté, cela a évidemment causé des problèmes aux sites qui devraient avoir un tel accès. Co w dużym skrócie oznacza, że na uniwersalne rozwiązanie przyjdzie nam jeszcze poczekać – a część telefonów odpowiedniej aktualizacji nigdy nie otrzyma. Ce qui, en résumé, signifie que nous devrons attendre la solution universelle - et certains téléphones ne recevront jamais la mise à jour appropriée. Bo kto, poza Apple (tu wielki ukłon w stronę tej firmy) przygotowuje aktualizacje na przedpotopowe modele? Because who, apart from Apple (here is a great tribute to this company), prepares updates for antediluvian models? Qui, à part Apple (un grand clin d'œil à cette société) prépare des mises à jour pour les modèles antédiluviens? I to tyle w 52. odcinku Świata w trzy minuty. And that's it in the 52nd episode of the World in three minutes. Et c'est tout dans le 52e épisode du Monde en trois minutes. Usłyszymy się za tydzień – a w międzyczasie zapraszam na stronę TrzyMinuty.com, gdzie znajdziesz odnośniki do materiałów źródłowych dzisiejszego odcinka oraz, oczywiście, pełne archiwum. We'll hear you in a week's time - and in the meantime, check out TrzyMinuty.com, where you'll find links to today's episode's source material and, of course, the full archive. Zajrzyj też na Podkasterzy.pl, gdzie wkrótce pojawi się ciekawa informacja. Also check out Podkasterzy.pl, where interesting information will soon appear. Jetez un œil à Podkasterzy.pl, où vous trouverez bientôt des informations intéressantes. Dzięki i do usłyszenia! Merci et vous entendre! Źródła: How criminals can steal your PIN by tracking the motion of your phone (komunikat prasowy) Stealing PINs via mobile sensors: actual risk versus user perception (praca naukowa) Attackers can steal smartphone users' PINs by tapping into data collected by mobile sensors (media o problemie)