Tiede

Älypuhelimien tietoturvassa aukko: PIN-koodi voi paljastua sen perusteella, mitä sormia käytät ja miten puhelimesi liikahtelee

Nelinumeroiset koodit avautuvat yhdistelemällä älypuhelimissa käytössä olevien erilaisten mittalaitteiden dataa, sillä jokaisella käyttäjällä on oma yksilöllinen näppäilysormenjälkensä.

Silja Viitala
Älypuhelimien tietoturvassa aukko: PIN-koodi voi paljastua sen perusteella, mitä sormia käytät ja miten puhelimesi liikahtelee

Matkapuhelimessa olevien mittalaitteiden keräämää dataa yhdistelemällä nelinumeroinen PIN-koodi voidaan paljastaa, sillä jokainen käyttäjä syöttää salasanansa omalla tavallaan.

Vesa VanhalakkaAamulehti

Älypuhelinten liikettä ja ympäristöä havainnoivissa antureissa eli mittalaitteissa piilee tutkijoiden mukaan iso turvariski, joka olisi syytä tukkia. Aistimet paljastavat oppivalle haittaohjelmalle matkapuhelimen PIN-koodin.

Singaporelaisessa Nanyangin teknillisessä yliopistossa (NTU) tehdyssä tutkimuksessa älypuhelinten aistimista kerättyjen tietojen perusteella nelinumeroinen PIN-koodi selvisi android-puhelimissa 99,5 prosentin tarkkuudella viimeistään kolmannella yrityksellä.

Tutkimuksessa oli mukana kolme koehenkilöä. Heistä kukin syötti puhelimeen 70 erilaista nelinumeroista PIN-koodia.

Tutkijat olivat asentaneet koehenkilöiden puhelimeen koneoppimista ja syväoppivia algoritmeja hyödyntävän sovelluksen, joka keräsi dataa kuudesta erilaisesta älypuhelimissa yleisesti käytössä olevasta aistimesta.

Luokittelualgoritmi oppi nopeasti tunnistamaan nelinumeroisen salasanan, jos se oli yksi viidestäkymmenestä yleisimmin käytetystä PIN-koodista, mutta ajan mittaa algoritmi oppii tunnistamaan kaikki nelinumeroiset salasanat.

NTU
Tutkimusta johtaneen Shivam Bhasinin mukaan syväoppiva algoritmi voi avata kaikki mahdolliset nelinumeroiset PIN-koodit älypuhelimen aistindatan avulla.

Tutkimusta johtaneen Shivam Bhasinin mukaan syväoppiva algoritmi voi avata kaikki mahdolliset nelinumeroiset PIN-koodit älypuhelimen aistindatan avulla.

Tutkimusryhmän johtaja Shivam Basin suositteleekin käyttämään PIN-koodissa useampaa kuin neljää numeroa. Basimin mukaan PIN-koodin lisäksi kannattaa käyttää myös muita tunnistamismenetelmiä, kuten esimerkiksi sormenjälki- tai kasvotunnistusta.

Tutkimuksen on julkaissut Cryptology ePrint Archive.

Sivusto on voittoa tavoittelemattoman kryptografiaa edistävän kansainvälisen IACR-järjestön ylläpitämä. Sivustolla julkaistaan salausalan tutkimustuloksia, jotka eivät ole vielä käyneet läpi tieteellistä vertaisarviointia.

Aistimet keräävät paljon tietoa

Nykyaikaisissa älypuhelimissa on monenlaisia erilaisia antureita eli aistimia, jotka keräävät tietoa älypuhelimen liikkeistä ja laitteen lähiympäristöstä.

Akselerometri eli kiihtyvyysanturi seuraa nopeuden muutoksia puhelimen liikkeessä.

Gyroskoopin eli liikkeentunnistusanturin avulla seurataan puhelimen asennon vaihteluja.

Kun akselerometrin ja gyroskoopin tietoja yhdistetään toisiinsa, saadaan erittäin tarkkoja tietoja puhelimen liikkeestä.

Magnetomeri eli kompassi mittaa maan magneettikenttää puhelimen ympäristössä. Kompassi tunnistaa muun muassa ilmansuunnat.

Näiden kolmen aistimen lisäksi Singaporessa tehdyssä tutkimuksessa kerättiin tietoa myös älypuhelimen lähestymistunnistimesta, ilmanpainemittarista ja puhelinta ympäröivän valon määrästä kertovasta valaistuksentunnistusanturista.

–Kun pidät puhelinta kädessäsi ja syötät PIN-koodia, puhelin liikkuu eri tavalla siitä riippuen, mitä numeroa painat. Myös puhelimeen pääsevän valon määrä vaihtelee eri numeroiden kohdalla, Basin sanoo.

–Kun esimerkiksi painat numeroa 1 oikean käden peukalollasi, se estää enemmän valoa pääsemästä puhelimeen kuin jos painat numeroa 9.

Algoritmi oppii ajan mittaan

Basinin mielestä älypuhelinten aistimet ovat erittäin iso turvallisuusriski, sillä kun älypuhelimen omistaja ottaa sovelluksen käyttöön, sovelluksen valmistajan ei tarvitse pyytää erikseen lupaa kaikkien aistimien keräämään dataan käsiksi pääsemiseen.

–Vaikka käyttäjät näppäilevät numeroita yksilöllisellä tavalla, luokittelualgoritmi oppii tunnistamaan eri ihmisten yksilöllisiä sormenjälkiä ajan mittaan. Se oppii sitä paremmin, mitä useamman ihmisen näppäilytoimintoja se seuraa, Basin sanoo.

Näin mahdollinen haittaohjelman tekijä voi kerätä tietoa kaikessa rauhassa, ja iskeä sen jälkeen, kun onnistumisen mahdollisuus on kasvanut riittävän suureksi.

–Sen lisäksi, että PIN-koodi voidaan selvittää, älypuhelimen aistintiedot paljastavat käyttäjästä myös paljon muuta tietoa. Tähän sekä yritysten että yksityisten käyttäjien olisi syytä alkaa kiinnittää huomiota, tutkimuksen tehneen Temasek-laboratorion johtaja Gan Chee sanoo.

Vesa Vanhalakka Twitterissä: @vanhalakka


Lue myös nämä


Kommentit (4)

  • Nimetön

    Pin koodi on hölynpölyä.
    Jos hukkaan puhelimen se on auki.
    Omat puhelimet ei kysele turhaa.
    Puhelimen turvakoodi tarkoittaa ei toimi >>> yli olan.

  • Nimetön

    Huuhaa innasella olisi varmasti oma sanansa sanottavana tästä, KOLMEN henkilön suorittamasta ”tieteellisestä kokeesta”.

Kirjoita kommentti

Perustele, kirjoita selkeästi, älä vähättele ihmisiä, ÄLÄ HUUDA. Pysy aiheessa ja muista käytöstavat. Kommentit luetaan ja tarvittaessa muokataan ennen julkaisua.

Meillä on nollatoleranssi alatyyliselle ilmaisulle, henkilöön käyvälle arvostelulle ja vihamielisyydelle. Emme julkaise kommentteja, joiden ainoa sisältö on negatiivinen mielipide vailla perusteluja. Jätämme julkaisematta myös ne kommentit, joissa ei lainkaan piitata oikeinkirjoituksesta kuten isoista alkukirjaimista tai välilyönneistä.

Kiitos etukäteen rakentavasta kommentistasi!

Pääaiheet