Smartwatch-ul poate intercepta codul PIN tastat la ATM-uri

S-a putut identifica cu acurateţe de 80% codul numeric tastat la consola unui ATM prin informaţiile transmise de un smartwatch

Conform celor declarate de expertul în securitate Yan Wang, specializat în calculatoare şi asistent universitar la Binghamton University din Upstate New York, cei care poartă ceasuri inteligente ar trebui să fie precauţi atunci când folosesc ATM-urile: "Dispozitivele smartwatch ştiu prea multe". Potrivit acestuia, abundenţa de senzori încorporaţi în dispozitivele smartwatch poate permite unui hacker să afle codul PIN tastat pentru folosirea ATM-urilor bancare, doar pe baza mişcărilor mâinii.

În demonstraţia făcută cu ocazia conferinţei ASIACCS (Association for Computing Machinery Asia Conference on Computer and Communications Security), organizată luna trecută în oraşul Xi'an din China, echipa de cercetători condusă de expertul în securitate Yan Wang a reuşit să identifice cu acurateţe de 80% codul numeric tastat la consola unui ATM. Fără a avea nevoie de camere video, sistemul bazat exclusiv pe senzorii încorporaţi într-un smartwatch poate diferenţia chiar şi cele mai subtile mişcări ale mâinii, gestul de acoperire a palmei în timpul tastării pentru a opri privirile indiscrete devenind practic inutil. Această metodă de interceptare a fost testată pe câteva modele de smartwatch, însă se crede că numărul dispozitivelor vulnerabile este cu mult mai mare. Pentru ca mişcarea descrisă la tastarea codului să poată fi captată, este necesară infiltrarea unei aplicaţii compromisă pe dispozitivul vizat. Coordonatele de mişcare folosite pentru extrapolarea codului tastat pot fi obţinute şi interceptând conexiunea Bluetooth între dispozitivul smartwatch şi telefonul mobil, fără a fi necesară instalarea unei aplicaţii malware, spun cei de la spectrum.ieee.org

Odată depăşit acest prim obstacol, o eventuală grupare de hackeri nu trebuie decât să potrivească codurile PIN recepţionate de pe dispozitivele compromise cu datele cardurilor bancare înregistrate folosind dispozitive de tip skimmer, comparând data şi ora la care au fost obţinute, respectiv coordonatele GPS ale bancomatului vizitat (în cazul în care sunt ţintite mai multe ATM-uri simultan).

În situaţia descrisă, cel care doreşte să fure informaţia, nu trebuie să se afle în imediata vecinătate a ATM-urilor vizate şi nici a victimelor, datele cardurilor de credit şi codurile PIN putând fi trimise la distanţă folosind conexiunea wireless a dispozitivului purtat la mână, respectiv skimmer-ul prevăzut cu modul GSM şi acces la internet mobil.

Cea mai simplă metodă de a proteja confidențialitatea codului PIN este de a acoperi consola numerică pentru preveni interceptarea acestuia pe cale vizuală, iar în cazul în care avem un smartwatch, să tastăm cu mâna la care nu purtăm astfel de dispozitive.