8 August 2013

Робот R2B2 брутфорсит ПИН-коды Android-смартфонов

DIY
Трудно представить себе практическую цель создателей, но факт остаётся фактом: на следующей конференции Def Con в Лас-Вегасе пара исследователей — Джастин Инглер(Justin Engler) и Пол Вайнс (Paul Vines) — планируют представить свою разработку под кодовым наименованием Robotic Reconfigurable Button Basher (или R2B2), которая представляет из себя робота, цель которого — подобрать ПИН-код Android-смартфона. Причём подобрать весьма незамысловатым образом: просто перебирая все возможные варианты «тыканьем» в экран устройства — так же, как это делает человек, только с несоизмеримо большим терпением.

Технически R2B2 довольно прост и обошёлся своим создателям примерно в 200$. Робот собран из трёх сервомоторов стоимостью в 10$ каждый, микроконтроллера Arduino, пластикового стилуса и набора запчастей, которые были напечатаны на бытовом 3D-принтере Makerbot стоимостью в 2800$, которому у парней имелся доступ. Сервомоторы перемещают пластиковый стилус по экрану и «нажимают» на него, а за реакцией смартфона на текущую комбинацию ПИН-кода следит 5-долларовая веб-камера, отдающая картинку по USB в специально для этой цели написанное ПО, которое после конференции будет опубликовано в статусе open-source. R2B2 может быть подключён к Windows или Mac, где, собственно, и происходит процесс распознавания.

Разработчики не поленились учесть человеческий фактор — перед тем, как начать работать, робот попробует список самых популярных ПИН-кодов (26% пользователей кредитных карт используют одну из 12 самых популярных комбинаций). Конечно, учитывается и тот факт, что после пяти неправильных вводов, Android предложит подождать 30 секунд — R2B2 в это время «отдыхает». В этом смысле iOS ведёт себя более осмотрительно, увеличивая время между сериями неправильно введенных ПИНов.

Учитывая фактор системного ограничения Android и то, что R2B2 может ввести за 35 секунд пять вариантов кода, то общее время брут-форма смартфона оценивается в 19 часов и 24 минуты. Джастин и Пол ужасаются этому факту и обращают внимание на то, что если бы цифр в пин-коде было не четыре, а шесть, то время взлома у их робота возросло бы до 80 дней, что несколько нивелирует возможность раскрытия конфиденциальных данных.

Взглянуть на сам процесс можно на видео ниже:



[Источник]
Tags:androidbrute-forceвзломпин
Hubs: DIY
-3
4.3k 4
Comments 6
Popular right now
Android
from 150,000 ₽NatsONМоскваRemote job
Android-разработчик
from 80,000 ₽FlowwowRemote job
Android-разработчик
to 80,000 ₽AmigowebМагнитогорскRemote job
Android developer
from 100,000 to 150,000 ₽King Bird StudioМоскваRemote job
Android Developer
from 150,000 to 200,000 ₽/difway.studioRemote job