Tim peneliti Universitas Pensilvania menemukan sebuah ancaman bagi integritas password perangkat layar sentuh dengan menggunakan residu berminyak yang ditinggalkan oleh ujung jari.
Dalam sebuah makalah yang disampaikan pada simposium keamanan USENIX minggu lalu di Washington, D.C., lima peneliti keamanan menggambarkan bagaimana seorang penyerang dapat menggunakan sudut kamera dan kondisi pencahayaan yang berbeda untuk mengungkapkan pola noda yang menyingkap secara penuh atau sebagian password pada perangkat layar sentuh Android.
Para peneliti mengakui bahwa penyerang harus cukup “aktif” untuk melakukan serangan noda tersebut. Selain memiliki peralatan yang diperlukan, penyerang harus mencuri atau “meminjam” perangkat dan kemudian mengontrol pencahayaan dan kondisi kamera dengan tepat untuk mengekstrak informasi.
Para peneliti menulis bahwa dengan mengasumsikan hal-hal ini, hasil percobaan tersebut sangat menggembirakan, dan mencatat tanda noda tersebut sulit untuk dihapus termasuk kontak langsung yang terkait dengan pakaian, seperti saku celana, juga tidak menghilangkan bekas noda.
Menurut makalah Serangan Noda terhadap Smartphone Layar Sentuh, dalam satu percobaan, pola tersebut dapat diidentifikasi dalam 92 persen secara parsial dan secara penuh dalam 68 persen dari pencahayaan yang diuji dan kamera yang dipasang.
“Bahkan dalam melakukan percobaan terburuk kami, di bawah kondisi entri pola yang kurang dari ideal, pola tersebut sebagian dapat diekstraksi menjadi 37 persen dari pemasangan dan secara penuh menjadi 14 persen,” tulis makalah tersebut.
“Telepon spesifik yang diuji selama percobaan ini adalah HTC G1 dan HTC Nexus 1, yang membatasi pengguna ke grid 3×3 titik kontak untuk membuat sebuah password, yang membatasi pilihan password untuk 389.112 pola yang memungkinkan,” menurut makalah tersebut.
Sementara para peneliti mengakui bahwa kemungkinan jumlah pola password sangatlah besar, mereka mencatat pola password yang benar menjadi lebih mudah untuk dipecahkan setelah penyerang menganalisa pola noda.
“Ketika mempertimbangkan kebocoran informasi dari serangan noda, penyerang bisa memilih satu set kemungkinan besar pola, meningkatkan peluangnya untuk menebak yang benar sebelum pengunci telepon keluar,” setelah mencoba ke-20 kalinya.
Atau penyerang dapat menganalisa tanda noda yang kotor, yang menunjukkan arah orang tersebut menyeret jarinya di layar sentuh, sehingga meningkatkan kemungkinan penyerang bisa mengangkat pola password yang tepat.
Sementara itu, makalah tersebut tidak secara langsung menyarankan strategi perlindungan dan hal ini menyinggung mereka. Pertama, ponsel Android yang lebih baru memungkinkan pin alpha-numeric. Dua, menekan secara kuat layar sentuh Anda membantu menghancurkan pola noda, terutama arah. Dan tiga, jangan kehilangan atau meninggalkan ponsel Anda tanpa pengawasan. Seorang penyerang hanya dapat memanfaatkan isi telepon Anda jika ia memiliki akses fisik ke sana. Demikian yang dilansir website securitymanagement.om
Para peneliti memiliki teori terhadap metode serangan yang sama bisa digunakan pada perangkat layar sentuh lainnya, seperti ATM, mesin suara DRE, dan layar sentuh sistem entri PIN di toko-toko ritel.
“Praktik memasukkan informasi sensitif melalui layar sentuh membutuhkan analisa yang hati-hati di dalam pencahayaan hasil kami,” makalah tersebut menyimpulkan.
“Pola sandi Android, khususnya, harus diperkuat.”
foto : securitymanagement.com