В Android-смартфонах обнаружили критическую уязвимость

Будем надеяться, что нет, а если и так, то ненадолго, благодаря команде исследователей из Инженерной школы Суонсона Университета Питтсбурга.

Недавнее исследование ученых показало, что графический процессор (GPU) в некоторых Android-смартфонах может использоваться для прослушивания учетных данных пользователя, когда пользователь вводит учетные данные с помощью экранной клавиатуры смартфона. Обнаруженная уязвимость аппаратной безопасности представляет гораздо более серьезную угрозу конфиденциальным личным данным пользователя по сравнению с предыдущими атаками, которые могут сделать вывод только об общих действиях пользователя, таких как посещаемый веб-сайт или длина вводимого пароля.

«Наши эксперименты показывают, что атака может правильно определить вводимые пользователем учетные данные, такие как имя пользователя и пароль, не требуя каких-либо системных привилегий или вызывая какие-либо заметные изменения в работе или производительности устройства. Пользователи не смогут определить, когда их атакуют», — сказал Вэй Гао, доцент кафедры электротехники и вычислительной техники, чья лаборатория руководила исследованием.

В ходе эксперимента исследователи смогли правильно определить, какие буквы или цифры были нажаты, в 80% случаях, основываясь только на данных, полученных из графического процессора.

Исследователи сосредоточились на видеочипе Qualcomm Adreno, но предполагается, что уязвимость также может быть использована и на других графических процессорах. Команда сообщила об обнаруженной бреши Google и Qualcomm. В Google отметили, что выпустят патч безопасности для Android уже в конце этого года.

Например злоумышленник может создать безопасное приложение и внедрить в него вредоносный код, который будет работать в фоновом режиме. В результате атаки злонамеренное приложение может получить имена пользователей и пароли, вводимые в онлайн банкинге или на веб сайтах. Подобный код не может быть обнаружен стандартными средствами защиты магазином Google Play.

Документ «Подслушивание учетных данных пользователя через сторонние каналы графического процессора на смартфонах» был написан в соавторстве с Боюаном Янгом, Жуйронгом Ченом, Кай Хуаном, Цзюнь Яном и Вей Гао. Он был представлен на конференции ASPLOS, проходившей с 28 февраля по 4 марта 2022 г. в Лозанне, Швейцария.