Группа исследователей из Кембриджского университета обнаружила, что, используя программу под названием PIN Skimmer, можно определить коды доступа, введенные с виртуальной клавиатуры смартфона.

Сопоставляя информацию о том, куда смотрит человек, и звук, который слышится при нажатии той или иной цифры, программа, сделав поправку на движение смартфона при нажатии на виртуальную клавиатуру, определяет код доступа к телефону.

Испытания проводились на смартфонах Google Nexus-S и Galaxy S3.

«Мы показали, что злоумышленники могут использовать камеру, которая включается для видеообщения или распознавания черт лица», – утверждают авторы исследования профессор Росс Андерсон и Лоран Симон.

«Мы были удивлены тем, как хорошо работает программа», – сообщил Би-би-си Росс Андерсон, профессор инженерной безопасности в Кембриджском университете.

Из пяти попыток программа успешно определила четырехзначный ПИН-код в трех случаях. Когда ПИН-коды были восьмизначными, успешными оказались 60% из 10 попыток.
«Менять расположение»

Пользователи смартфонов часто используют ПИН-код, чтобы закрывать посторонним доступ к своему телефону, но эти же коды все чаще используются для доступа к другим типам приложений на смартфоне, в том числе банковских.

Одно из предложений по предотвращению нежелательного распознавания ПИН-кода заключается в использовании более длинных ПИН-кодов. Исследователи, однако, предупреждают, что это может повлиять на «запоминаемость и удобство».

Можно менять расположение цифр на клавиатуре, но ученые считают, что это «усложнит пользование телефонами».

Более радикальными решениями были бы избавиться от паролей вообще и вместо них использовать отпечатки пальцев или распознавание лиц.

«Если вы разрабатываете приложения, связанные с деньгами, вам лучше знать, что эти риски существуют», – предупреждает профессор Андерсон.