Группа исследователей с факультета электронной и вычислительной техники Университета штата Иллинойс разработала приложение для смарт-часов, при помощи которого можно узнать пароль пользователя по движениям кисти во время работы с клавиатурой, пишет журнал Xakep.
Программа под названием MoLe (Motion Leaks through Smartwatch Sensors) использует встроенные в часы гироскоп и акселерометр. Приложение строит виртуальную 2D-карту клавиатуры, замеряет время между каждым нажатием и вектор смещения кисти и на основании этих данных предполагает, какие именно клавиши нажал пользователь.
Хотя приложение получает информацию о движениях только одной руки (как правило, левой) и пока не распознает нажатие специальных символов или пробела, оно все же может приблизительно угадать набранное слово.
Исследователи записали небольшое видео, демонстрирующее работу приложения, установленного на часах Samsung Gear Live. В ходе этого испытания на клавиатуре было набрано слово "confident", пять букв которого были напечатаны левой рукой. В результате программа составила список возможных вариантов, в котором искомое слово оказалось на втором месте.
По словам исследователей, приложение MoLe может быть адаптировано практически для любой модели смарт-часов. Программа может быть замаскирована под другое приложение, и если ничего не подозревающий пользователь установит ее на носимое устройство, то она сможет узнать не только его пароль, но и поисковые запросы или даже содержание электронных писем.
Создатели MoLe отмечают, что обнаруженную ими уязвимость можно устранить, понизив частоту работы гироскопа и акселерометра часов с 200 до 15 Гц. В этом случае отследить движения запястья с необходимой точностью будет невозможно.