القوة الغاشمة لرقم التعريف الشخصي للجوال عبر USB ببطاقة 3 دولارات
تشبه أرقام التعريف الشخصية للجوال إلى حد كبير كلمات المرور من حيث أن هناك عددًا من الكلمات الشائعة جدًا ، ولدى [Mobile Hacker] دليل ذكي على المفهوم الذي يستخدم لوحة تطوير متحكم دقيقة لمحاكاة لوحة المفاتيح لاختبار 20 عملية فتح الأكثر شيوعًا . رموز PIN على جهاز Android.
تجربة أكثر عشرين رمز PIN شيوعًا لا تستغرق وقتًا طويلاً. يعتمد المشروع على بحث يحلل أمان رموز PIN للهواتف الذكية المكونة من 4 و 6 أرقام والتي وجدت أوجه تشابه مذهلة بين رموز إلغاء القفل المختارة من قبل المستخدم. على الرغم من أن البحث يعود إلى بضع سنوات ، فمن المحتمل أن سلوك المستخدم فيما يتعلق باختيار رقم التعريف الشخصي لم يتغير كثيرًا.
الأجهزة ليست أكثر من مجرد لوحة Digispark ، وهي لوحة صغيرة تعتمد على ATtiny85 مع موصل ومحول USB مدمجين. في الواقع ، هناك الكثير من القواسم المشتركة مع DIY Rubber Ducky ، إلا أنها تركز على وظيفة واحدة.
بمجرد الاتصال بجهاز محمول ، فإنه ينفذ شكلاً من أشكال هجوم الحقن بضغطة زر ، ويرسل تلقائيًا أحداث ضغط المفاتيح لإدخال رموز PIN الأكثر شيوعًا مع تأخير بين كل محاولة. بافتراض قبول الجهاز ، تستغرق تجربة جميع الرموز العشرين حوالي ست دقائق.
يعد تعطيل اتصالات OTG لأحد الأجهزة إحدى الطرق لمنع هذا النوع من الهجوم ، كما أن عدم تعيين رقم تعريف شخصي مشترك مثل "1111" أو "1234" أفضل. يمكنك مشاهدة التأثير الغاشم أثناء العمل في الفيديو ، مضمن أدناه.
فرض حماية PIN لتطبيق مشهور باستخدام 3 دولارات ATTINY85 #Arduino
قد يستغرق اختبار جميع مجموعات رقم التعريف الشخصي الممكنة (10000) أقل من ساعة ونصف دون إغلاق الحساب. هذا ممكن لأن رمز PIN يقتصر على 4 أرقام ، بدون المصادقة البيومترية # rubberducky pic.twitter.com/rbu9Tk3S9d
- Mobile Hacker (@ androidmalware2) 12 تموز (يوليو) 2023
تشبه أرقام التعريف الشخصية للجوال إلى حد كبير كلمات المرور من حيث أن هناك عددًا من الكلمات الشائعة جدًا ، ولدى [Mobile Hacker] دليل ذكي على المفهوم الذي يستخدم لوحة تطوير متحكم دقيقة لمحاكاة لوحة المفاتيح لاختبار 20 عملية فتح الأكثر شيوعًا . رموز PIN على جهاز Android.
تجربة أكثر عشرين رمز PIN شيوعًا لا تستغرق وقتًا طويلاً. يعتمد المشروع على بحث يحلل أمان رموز PIN للهواتف الذكية المكونة من 4 و 6 أرقام والتي وجدت أوجه تشابه مذهلة بين رموز إلغاء القفل المختارة من قبل المستخدم. على الرغم من أن البحث يعود إلى بضع سنوات ، فمن المحتمل أن سلوك المستخدم فيما يتعلق باختيار رقم التعريف الشخصي لم يتغير كثيرًا.
الأجهزة ليست أكثر من مجرد لوحة Digispark ، وهي لوحة صغيرة تعتمد على ATtiny85 مع موصل ومحول USB مدمجين. في الواقع ، هناك الكثير من القواسم المشتركة مع DIY Rubber Ducky ، إلا أنها تركز على وظيفة واحدة.
بمجرد الاتصال بجهاز محمول ، فإنه ينفذ شكلاً من أشكال هجوم الحقن بضغطة زر ، ويرسل تلقائيًا أحداث ضغط المفاتيح لإدخال رموز PIN الأكثر شيوعًا مع تأخير بين كل محاولة. بافتراض قبول الجهاز ، تستغرق تجربة جميع الرموز العشرين حوالي ست دقائق.
يعد تعطيل اتصالات OTG لأحد الأجهزة إحدى الطرق لمنع هذا النوع من الهجوم ، كما أن عدم تعيين رقم تعريف شخصي مشترك مثل "1111" أو "1234" أفضل. يمكنك مشاهدة التأثير الغاشم أثناء العمل في الفيديو ، مضمن أدناه.
فرض حماية PIN لتطبيق مشهور باستخدام 3 دولارات ATTINY85 #Arduino
قد يستغرق اختبار جميع مجموعات رقم التعريف الشخصي الممكنة (10000) أقل من ساعة ونصف دون إغلاق الحساب. هذا ممكن لأن رمز PIN يقتصر على 4 أرقام ، بدون المصادقة البيومترية # rubberducky pic.twitter.com/rbu9Tk3S9d
- Mobile Hacker (@ androidmalware2) 12 تموز (يوليو) 2023
What's Your Reaction?
