اختراق الهواتف عن طريق جهاز الاستشعار

15 مارس , 2018

ملخص: يحتوي الهاتف الذكي على أجهزة استشعار داخلية، مؤخرا استطاع الباحثون اختراق الهواتف ومعرفة رقم التعريف الشخصي عن طريق جمع البيانات من أجهزة الاستشعار باستخدام خوارزميات مكنتهم من النجاح من خلال ثلاث محاولات فقط، هذا العمل سلط الضوء على خلل جسيم في أمان الهاتف الذكي.

 

 

الأجهزة في الهواتف الذكية مثل مقياس التسارع (Accelerometer) والمدوار (Gyroscope) وأجهزة استشعار الاقتراب (Proximity Sensors) تمثل ثغرة أمنية محتملة وفقًا لما ذكره الباحثون من جامعة نانيانغ التقنية في سنغافورة (NTU )، وقد نشر الباحثون ذلك عبر الوصول الحر (OpenAccess) في الأرشيف الإلكتروني (Cryptology ePrint Archive) وكان ذلك في 6 ديسمبر من عام 2017.

 

ويتم ذلك عن طريق استخدام مجموعة من البيانات المجموعة من أجهزة الاستشعار الموجودة في الأجهزة الذكية وتعلّم الآلة (Machine Learning) المتطور إضافة إلى خوارزميات التعلّم العميق (Deep Learning)، الباحثون نجحوا في فتح قفل الأجهزة الذكية ذات نظام الأندرويد بدقة وصلت إلى 99.5% من خلال ثلاث محاولات فقط، ويتم ذلك عندما يكون الهاتف متعاملًا مع الأرقام الـ50 الأكثر شيوعًا في الاستخدام كرقم التعريف الشخصي.

 

أفضل اختراق سابق للهاتف نجح بنسبة 74% لـ أرقام التعريف الشخصية الـ50 الأكثر شيوعًا، لكن بالنسبة لتقنية NTU فيمكن استخدمها لتخمين كل المجموعات المحتملة من الـ 10000 رقم تعريفي شخصي ذو الأربع خانات.

 

قام الدكتور شيفام بيهاسين وهو باحث متقدم في مختبرات تيماسك في NTU بقيادة الباحثين، حيث أنهم استخدموا أجهزة الاستشعار في الهاتف الذكي لنمذجة الأرقام التي تم ضغطها عن طريق المستخدم بالاعتماد على كيفية ميل الهاتف وكمية الضوء المحجوب عن طريق الإبهام أو الأصابع.

ويعتقد الباحثون بأن عملهم يسلط الضوء على خلل جسيم في أمان الهاتف الذكي، حيث أن أجهزة الاستشعار في هذه الهواتف يتم استخدامها بدون إذن مسبق من المستخدم إضافة إلى أنها متاحة بشكل علني للسماح لجميع التطبيقات بالوصول إليها.

 

كيف تم إجراء التجارب

أخذ فريق الباحثين هواتف بنظام الأندرويد وقاموا بتثبيت تطبيقات مخصصة لجمع البيانات من أجهزة الاستشعار الستة: جهاز استشعار( التسارع، المدوار، قياس المغناطيسية، الاقتراب، الباروميتر وحساس الضوء).

 

“عندما تمسك بهاتفك وتقوم بإدخال رقم تعريفك الشخصي، فإن طريقتك في تحريك الهاتف عند الضغط على 5 أو1 أو 9 مختلفة جدًا، وبنفس المنوال عند ضغطك على 1 باستخدام إبهامك الأيمن سوف تحجب ضوءًا أكثر مما لو قمت بالضغط على الرقم 9″، الشرح السابق هو للدكتور بهاسين الذي أمضى قرابة الـ 10 أشهر مع زملائه وهم: السيد دايفيد بيرند والدكتور برنهارد جونك على هذا المشروع.

 

تم تدريب خوارزمية التصنيف (Classification Algorithm) على بيانات اُخذت من ثلاثة أشخاص، حيث أدخل كل واحد منهم مجموعة عشوائية من 70 رقم تعريف شخصي مكون من أربع خانات، وفي الوقت ذاته تم تسجيل ردود فعل أجهزة الاستشعار التي لها علاقة بالأمر.

وهذا ما يعرف بالتعلّم العميق فخوارزمية التصنيف قادرة على إعطاء قيم مختلفة من الأهمية لكل جهاز استشعار، اعتمادًا على مدى حساسية الضغط على الأرقام المختلفة لكل من هذه الأجهزة الاستشعارية، و هذا مايساعد على إزالة العوامل ذات الأهمية الأقل وبالتالي زيادة معدل نجاح استعادة رقم التعريف الشخصي.

 

بالرغم من أن كل شخص يقوم بإدخال الرقم التعريفي الشخصي لهاتفه بشكل سري وبطريقة مختلفة، إلا أن العلماء وضحوا بأن هذه الطريقة تمدّ الخوارزمية بالبيانات مع مرور الوقت وبالتالي تتطور معدلات النجاح.

 

حتى وإن كانت التطبيقات الخبيثة غير قادرة على تخمين رقم التعريف الشخصي بشكل صحيح مباشرةً بعد مرحلة التثبيت، إلا أن استخدام تعلّم الآلة قد يُمكّن تلك التطبيقات من تجميع بيانات هواتف آلاَفٍ من المستخدمين مع مرور الوقت وتعلّم طريقة نمط إدخال رمز التعريف الشخصي ومن ثم شنّ هجوم في وقت لاحق عندما يكون معدل النجاح أعلى بكثير.

 

ذكر البروفيسور غان تشي ليب مدير مختبرات تيماسيك أن هذه الدراسة تُظهر كيف يمكن للأجهزة ذات الأمان القوي أن يحدث لها هجوم عن طريق قناة جانبية حيث يُمكن تحّويل بيانات جهاز الاستشعار عن طريق تطبيقات خبيثة بغرض التجسس على سلوك المستخدم والمساعدة على الوصول لرقم التعريف الشخصي وبيانات كلمة المرور الخاصة به وأكثر من ذلك بكثير.

 

كما أردف البروفيسور غان قائلًا “علاوة على احتمالية تسريب كلمات المرور نحن في حالة قلق من إمكانية الوصول إلى معلومات جهاز الاستشعار والتي من شأنها الكشف عن أمور كثيرة ذات علاقة بسلوك المستخدم، ولما لهذا الأمر من آثار بالغة الأهمية من ناحية الخصوصية لكل من الأفراد والشركات؛ لذا يتوجب على كلٍ منهم الانتباه لهذا الأمر بشكل عاجل”. وصرّح الدكتور باسين بقوله سيكون من المستحسن لأنظمة تشغيل الهواتف أن تُقيّد مستقبلًا وصول أجهزة الاستشعار الستة حتى يختار المستخدم تفعيلها لإعطاء إذن الوصول للتطبيقات الموثوقة التي يريدها.

 

لجعل هاتفك أكثر أمانًا ينصح الدكتور باسين المستخدمين باستخدام أرقام تعريف شخصية تحتوي على أكثر من أربع خانات، مرفقًا هذا الإجراء طرق تحقق أخرى مثل: كلمة مرور لمرة واحدة وتفعيل خاصية التحقق بخطوتين والبصمة أو التعرف على الوجة.

 

 

 

ترجمة: وفاء الداود

تويتر: @wafa_aldawoud

مراجعة: ندى محمود

تويتر: @NaduSid

 

المصدر:

Science Daily: Hackers could guess your phone PIN using its sensor data

 

 

 


اترك تعليقاً

القائمة البريدية

اشترك في قائمتنا البريدية ليصلك جديد مقالاتنا العلمية وكل ماهو حصري على مجموعة نون العلمية

error: Content is protected !!