Как выяснилось, встроенные в носимую электронику датчики и сенсоры можно использовать для считывания PIN-кодов, которые пользователи вводят в банковские терминалы, и для отслеживания текста, набираемого на любой клавиатуре. Что хуже всего — злоумышленнику даже не придётся взламывать ваше устройство, ему достаточно лишь установить рядом с вами специальный сканер, который будет отслеживать движение ваших рук.
Команда, состоящая из сотрудников Технологического института Стивенса и Бингемтонского университета (США), провела эксперимент. Исследователи создали сканер, который фиксирует электромагнитное излучение от датчиков, встроенных в смарт-часы и фитнес браслеты, и разработали алгоритм, позволяющий определить, на какие кнопки нажимает пользователь. Для составления алгоритма, определяющего 5000 ключевых движений, потребовалось всего 20 пользователей и три носимых гаджета (две модели смарт-часов и фитнес-браслет с девятиосным акселерометром).
Точность распознавания достаточно высокая — 80% с первой попытки и более 90%, если пользователь вводит одни и те же данные во второй раз. Чем больше сенсоров установлено в устройство, тем с большей точностью «хакерский» прибор определяет, на какие кнопки нажал пользователь. Очевидно, что с этой точки зрения менее продвинутые гаджеты оказываются более безопасными. Эксперимент проводился с клавиатурами в банковских терминалах и с QWERTY-клавиатурами.
Снизить ошибки при распознавании набора получилось благодаря определению финальных точек в действии: когда носимое устройство перестаёт двигаться по одной оси и резко переходит на другую — в «понимании» алгоритма в этот момент пользователь определился с тем, какая клавишу ему нужна, и нажимает на неё.
Исследователи так описывают результаты своего эксперимента:
Это исследование показывает, что использование носимой электроника может позволить злоумышленникам с высокой точностью отслеживать движение рук пользователя и перехватить секретные данные. В частности, наша система показывает, что для этих целей можно использовать информацию от акселерометров, гироскопов и магнитометров, причём положение руки пользователя не влияет на точность измерений. Наш алгоритм оказался способен связывать движение рук пользователя с данными, которые он вводит на клавиатуре.
Для перехвата секретных данных злоумышленнику не обязательно находиться рядом с жертвой — он может разместить миниатюрный сканер непосредственно у клавиатуры на банковском терминале, а захваченные сведения могут передаваться на смартфон «хакера» через Bluetoooth.
Защитить себя от перехвата данных с помощью описанного метода довольно просто — нужно вводить PIN-коды не той рукой, на которую надеты смарт-часы или фитнес-трекер, а другой. Избавить носимые гаджеты от этой уязвимости будет довольно сложно — производителям придётся предусмотреть шифрование данных, которые передают встроенные в носимую электронику датчики, а это создаст дополнительную нагрузку на процессор и аккумулятор, что значительно снизит время их автономной работы.
