لوکاس اولینیک، پژوهشگر امنیتی موفق به ابداع راهکاری شده است که به او اجازه میدهد اطلاعات حساس گوشیهای هوشمند و به طور کل تجهیزات همراه را از طریق حسگر نور محیطی نصب شده روی دستگاهها به سرقت ببرد.
به گزارش بادیجی به نقل از شبکه خبری ICTPRESS، امروزه طیف گستردهای از تجهیزات همراه با حسگرهای نور محیطی به بازار عرضه میشوند. این دستگاهها از طریق حسگرهای فوق میزان نور محیطی را ارزیابی کرده و روشنایی صفحه نمایش دستگاهها را بر مبنای ورودی دریافت شده از این حسگرها تنظیم میکنند. لوکاس اولینیک هشدار داده است، کنسرسیوم وب گسترده جهانی (World Wide Web Consortium) در نظر دارد به سایتها اجازه دهد بدون نیاز به مجوز کاربر از حسگر نور محیطی نصب شده روی دستگاه آنها استفاده کنند. اما اینکار ممکن است به لحاظ امنیتی پیامدهایی به همراه داشته باشد.
در چنین شرایطی یک هکر قادر خواهد بود تغییرات روشنایی را از طریق حسگر نور محیطی تحلیل کرده و اطلاعات حساسی همچون کدهای QR که روی سایتها قرار داشته و به منظور احرازهویت کاربر از آنها استفاده میشود را به سرقت ببرد. این کارشناس امنیتی گفته است هکرها قادر هستند از طریق هک حسگرهای نوری از تغییر رنگ صفحهنمایش دستگاه کاربران اطلاع پیدا کرده و به اطلاعاتی حساسی که سایتها به واسطه مسائل امنیتی اجازه نمیدهند به طور مستقیم روی صفحهنمایش نشان داده شوند، دست پیدا کنند. هکرها به خوبی قادر هستند تفاوت میان رنگهای نشان داده روی صفحهنمایش را تشخیص داده و از روشنایی و تاریکی صفحهنمایش به منظور دریافت اطلاعات استفاده کنند.
زمانی که از طریق مرورگر خود روی لینکی کلیک میکنید، لینک کلیک شده تغییر رنگ پیدا میکند. هکرها با سوءاستفاده از حسگر نور محیطی و خواندن اطلاعات ساطع شده از حسگرهای نوری قادر هستند به تاریخچه فعالیتهای آنلاین کاربر دست پیدا کنند. یک هکر ممکن است از طریق برچسب :visited این موضوع را کشف کند کدام سایتها در تاریخچه دستگاه قربانی قرار دارند. در این حالت هکرها به خوبی از این موضوع اطلاع خواهند داشت که قربانی آنها بیشتر به سراغ چه سایتهایی میرود.
لوکاس اولینیک گفته است که این تکنیک حمله کمی کند بوده و برای خواندن متنی که متشکل از ۱۶ کاراکتر است، به چیزی در حدود ۴۸ ثانیه زمان نیاز است. شناسایی یک کد QR نیز به ۳ دقیقه و ۱۲ ثانیه زمان نیاز دارد. درست است که حسگرها بر مبنای نرخ ۶۰Hz کار میکنند اما این نرخ به معنای آن نیست که ما در حالت واقعی قادر خواهیم بود اطلاعات را با نرخ ۶۰ بیت بر ثانیه استخراج کنیم. به واسطه آنکه یکسری محدودیتها در این زمینه وجود دارد. این کارشناس امنیتی گفته است: «این حمله در بسیاری از موارد ممکن است رخ ندهد به واسطه آنکه اغلب کاربران کد QR را پس از آنکه روی صفحه نمایش دستگاه همراه خود مشاهده کردند و احرازهویت را به اتمام رسانند، پاک میکنند. در حالی برای آنکه چنین حملهای رخ ندهد پیشنهاد من این است که از طریق رابطهای برنامهنویسی تعداد دفعات خواندن حسگرهای نور محیطی کم شود. این تکنیک تاثیر منفی بر عملکرد حسگر نمیگذارد، اما در مقابل از شما در برابر بروز چنین حملاتی پشتیبانی خواهد کرد.»
نظرات کاربران