Android мобильные устройства GPU мобильный банкинг взлом Google Play
Может ли ваш смартфон шпионить за вами?
Будем надеяться, что нет, а если и так, то ненадолго, благодаря команде исследователей из Инженерной школы Суонсона Университета Питтсбурга.
Недавнее исследование ученых показало, что графический процессор (GPU) в некоторых Android-смартфонах может использоваться для прослушивания учетных данных пользователя, когда пользователь вводит учетные данные с помощью экранной клавиатуры смартфона. Обнаруженная уязвимость аппаратной безопасности представляет гораздо более серьезную угрозу конфиденциальным личным данным пользователя по сравнению с предыдущими атаками, которые могут сделать вывод только об общих действиях пользователя, таких как посещаемый веб-сайт или длина вводимого пароля.
«Наши эксперименты показывают, что атака может правильно определить вводимые пользователем учетные данные, такие как имя пользователя и пароль, не требуя каких-либо системных привилегий или вызывая какие-либо заметные изменения в работе или производительности устройства. Пользователи не смогут определить, когда их атакуют», — сказал Вэй Гао, доцент кафедры электротехники и вычислительной техники, чья лаборатория руководила исследованием.
В ходе эксперимента исследователи смогли правильно определить, какие буквы или цифры были нажаты, в 80% случаях, основываясь только на данных, полученных из графического процессора.
Исследователи сосредоточились на видеочипе Qualcomm Adreno, но предполагается, что уязвимость также может быть использована и на других графических процессорах. Команда сообщила об обнаруженной бреши Google и Qualcomm. В Google отметили, что выпустят патч безопасности для Android уже в конце этого года.
Например злоумышленник может создать безопасное приложение и внедрить в него вредоносный код, который будет работать в фоновом режиме. В результате атаки злонамеренное приложение может получить имена пользователей и пароли, вводимые в онлайн банкинге или на веб сайтах. Подобный код не может быть обнаружен стандартными средствами защиты магазином Google Play.
Документ « Подслушивание учетных данных пользователя через сторонние каналы графического процессора на смартфонах » был написан в соавторстве с Боюаном Янгом, Жуйронгом Ченом, Кай Хуаном, Цзюнь Яном и Вей Гао. Он был представлен на конференции ASPLOS, проходившей с 28 февраля по 4 марта 2022 г. в Лозанне, Швейцария.