Si vous utilisez les applications mobiles des banques sur vos propres terminaux mobiles, il serait bon de savoir que vos appareils sont capables d'indiquer aux pirates quelle séquence de chiffres vous tapez sur les terminaux. un étude publiée par deux chercheurs de la prestigieuse université de Cambridge nous apprend que le microphone et la caméra frontale d'un terminal mobile peuvent être utilisés pour révéler le code PIN saisi dans une application bancaire. En enregistrant le flux audio lors de la saisie des chiffres sur le clavier virtuel et en enregistrant des images vidéo pendant la saisie, un logiciel peut déterminer avec une assez grande précision les codes PIN des cartes. Les chercheurs affirment que dans 30 % des cas, les codes PIN sont saisis correctement après 3 tentatives maximum, ce pourcentage augmentant dans les cas où le nombre de tentatives est supérieur à 5.
En enregistrant l'audio lors de la saisie du code PIN, nous pouvons détecter les événements tactiles. En enregistrant la vidéo de la caméra frontale lors de la saisie du code PIN, nous pouvons récupérer les images qui correspondent aux événements tactiles. Ensuite, nous extrayons les changements d'orientation des images d'événements tactiles et nous montrons qu'il est possible de déduire quelle partie de l'écran est touchée par les utilisateurs. Dans un ensemble de tests de 50 codes PIN à 4 chiffres, l'application (qui dispose d'un composant côté serveur pour le traitement de l'image, afin d'éviter de décharger la batterie de manière suspecte) a correctement deviné plus de 30 % des codes PIN après quelques tentatives. et plus de la moitié après 5 tentatives. Évidemment, des codes PIN plus longs sont utiles, mais même avec des codes à 8 chiffres, PIN Skimmer a quand même fonctionné à environ 45 % après 5 tentatives.
Les données fournies aujourd'hui sont inquiétantes car elles révèlent que toute application dans un App Store il peut voler des informations importantes à notre insu. Bien entendu, l'application doit communiquer avec un serveur pirate afin de traiter les données enregistrées lors de l'utilisation des applications, mais nous parlons quand même d'un problème qui deviendra extrêmement dangereux avec le temps car de très nombreuses banques et systèmes de paiement mobiles sont disponibles partout dans le monde et deviennent de plus en plus populaires. Pour l’instant, la seule méthode qui rend difficile la découverte des codes PIN est l’utilisation de séquences de plus de 8 chiffres pour les codes PIN, mais pour que cela soit mis en œuvre, la coopération des banques est nécessaire.
