ビデオ: my history up until being nys emt 1998,(preceded by my run through of emergency room today) (九月 2024)
キーロガーは、PCに座って、キーストロークを1つずつ記録する厄介な小さなプログラムです。 誰かの銀行のパスワードを盗もうとするなら、キーロガーは完璧なツールです。 SquareのセキュリティエンジニアリングマネージャーであるNathan McCauleyとTrustwaveのシニアセキュリティコンサルタントであるNeal Hindochaは、RSAC 2014で発表し、タッチスクリーンスマートフォンで同じことを行うことはまったく難しくないことを示しました。
指を見つける
iOSでタッチ情報を傍受する最良の方法は、「メソッドスウィズル」を使用することです。 マッコーリー氏は、これは「オペレーティングシステム内のメソッド呼び出しに対する中間者攻撃のようなものだ」と述べました。 McCauley氏は、特定のメソッドが呼び出されることを知っている場合、イベントを傍受してログに記録するライブラリを挿入してから、通常どおりイベントを渡します。 実用的な結果は、電話機のパフォーマンスに影響を与えることなく、あらゆる種類の情報(スクリーンショットを含む)を取得できることです。
通常、これにはiPhoneを最初にジェイルブレイクする必要があります。 しかし、発表者は、これが必ずしもそうではないことを示した週の初めにリリースされたFireEyeの研究を認めました。 AppleがiOSを更新するまで、デバイスがジェイルブレイクされていない場合でも、ユーザーが監視される可能性があります。
根ざしたAndroidデバイスでは、さらに簡単です。 Hindochaは、すべてのAndroidデバイスに存在する「getevent」ツールを使用して、すべてのタッチのX座標とY座標を記録しました。 また、geteventを使用して、スワイプの動きとハードウェアボタンが押された時間を記録できます。
ルート化されていないAndroid(ほとんどの場合)では、geteventを使用できます。 そのためには、電話機でUSBデバッグを有効にし、コンピューターに接続する必要があります。 Androidデバッグブリッジを使用して、Hindodochaはgeteventの実行に必要な昇格された権限を取得できました。
もちろん、Androidデバイスはデフォルトではデバッグモードではありません(アクティブにし ないこと を強くお勧めします)。 また、デバイスへの物理的なアクセスは、この攻撃の有効性を大きく制限します。 ただし、Hindodochaは、タッチデータを表示するための特別な権限を必要としない悪意のあるライブ壁紙と、ルート化されていないデバイスのタッチ情報を傍受するオーバーレイアプリの組み合わせを使用することが理論的に可能であることを実証しました。
タッチを得た
タッチデータを取得する方法を理解した後、研究者はそれをどう処理するかを把握する必要がありました。 最初、彼らはタッチ情報を何か有用なものにマッピングするためにスクリーンショットをキャプチャする必要があると考えていました。 しかし、ヒンドチャはそうではないと言った。 「進歩するにつれて、ドットを見るだけで何が起こっているかを簡単に把握できることに気付きました」と彼は言いました。
トリックは、どのような入力が行われていたかを示す特定の手がかりを探していました。 ドラッグとタップの特定の動きは、Angry Birdsである可能性がありますが、画面の右下の4つのタップと5番目のタップはおそらくPINです。 Hindochaは、バックスペースキーが存在する領域が繰り返しヒットしたため、電子メールまたはテキストメッセージがいつ書き込まれたかを伝えることができたと述べました。 「人々はメールを書くときに多くの間違いを犯します」と彼は説明した。
安全を保つ
研究者は、これはスマートフォンに入力されたものをキャプチャするための1つの方法にすぎないことを指摘しました。 たとえば、悪意のあるキーボードは、銀行のパスワードを簡単に盗むことができます。
FireEyeの調査では、これでは不十分であることが示唆されていますが、タッチロギングを懸念するiOSユーザーはデバイスのジェイルブレイクを避ける必要があります。 幸いなことに、McCauleyによると、方法のスウィズルは、経験豊富なデバイスマネージャーが検出するのはかなり簡単です。
Androidの場合、問題はもう少し複雑です。 繰り返しますが、デバイスをルート化すると、攻撃を受ける可能性があります。 また、デバッグモードを有効にすると、攻撃者はデバイスにアクセスできます。 McCauleyは重要な例外を提示しましたが、これらは通常、Android搭載の携帯電話にはありません。 彼は、調査の過程で、名前のないメーカーから出荷された電話が、攻撃者がgeteventにアクセスできるように構成されていることを発見したと述べました。
彼らの研究には実用的な応用がありますが、それでもまだ理論的なものです。 少なくとも今のところ、タップとスワイプは安全です。
