Исследователи из Пенсильванского университета (США) и корпорации IBM разработали экспериментальную троянскую программу TapLogger, позволяющую перехватывать пароли и другую конфиденциальную информацию, которая вводится через сенсорный дисплей Android-устройств.
Операционная система Android предоставляет установленным приложениям доступ к показаниям встроенных в смартфон или планшет датчиков — акселерометра, гироскопа и сенсора ориентации. Именно эти данные и анализирует троян, пытаясь вычислить, к какому месту экрана прикоснулся пользователь. Далее программа при помощи специальных алгоритмов сопоставляет результат с расположением кнопок на виртуальной клавиатуре, что позволяет с большой долей вероятности угадать нажатую цифру или символ. TapLogger состоит из двух компонентов — собственно шпиона, работающего незаметно для владельца устройства, и простенькой игры HostApp, в которой пользователю предлагается искать идентичные изображения среди представленных на экране. Игра служит не столько для маскировки, сколько для «тренировки» трояна: с её помощью программа накапливает сведения о параметрах дисплея, особенностях взаимодействия пользователя с тачскрином и пр. Чем больше такой информации получит TapLogger, тем выше вероятность точного угадывания символов. Исследователи говорят, что для подбора пароля из четырёх знаков методом перебора требуется до 10 тыс. попыток. TapLogger позволяет свести это число к 81 со 100-процентной вероятностью успеха. В случае с пинкодом из шести символов требуется ввод 729 комбинаций с вероятностью успеха 80%. Метод «грубой силы» в этом случае потребует до миллиона попыток. Авторы программы подчёркивают, что аналогичный троян может быть создан для коммуникаторов BlackBerry, а также устройств под управлением iOS (с джейлбрейком).