Clicky

Los hackers pueden robar contraseñas sólo mediante el monitoreo de los sensores del SmartPhone

robar contraseñas sólo mediante el monitoreo de los sensores

Robar PINs a través de sensores móviles: riesgo real frente a la percepción del usuario

¿Sabes cuántos tipos de sensores tiene incorporado tu teléfono inteligente? ¿Y qué datos recopilan sobre tus actividades físicas y digitales?

En estos días un smartphone promedio está repleto de una amplia gama de sensores como GPS, cámara, micrófono, acelerómetro, magnetómetro, proximidad, giroscopio, podómetro y NFC, por nombrar algunos.

Ahora, de acuerdo con un equipo de científicos de la Universidad de Newcastle en el Reino Unido, los piratas informáticos pueden potencialmente adivinar PIN y contraseñas - las que ingresamos en un sitio web de banco, una aplicación o una pantalla de bloqueo - con un sorprendente grado de precisión al supervisar los sensores de nuestro teléfono, como el ángulo y el movimiento del teléfono mientras estamos escribiendo.

El peligro se debe a la forma en que los sitios web y las aplicaciones maliciosas acceden a la mayoría de los sensores internos de un smartphone sin solicitar ningún permiso para acceder a ellos. No importa si se accede a un sitio web seguro a través de HTTPS para ingresar la contraseña.

El teléfono no impide que las aplicaciones accedan a los datos de los sensores

Las aplicaciones de nuestro smartphone generalmente piden permisos para tener acceso a sensores como GPS, cámara y micrófono.

Pero debido al auge de las aplicaciones de juegos, salud y fitness durante los últimos años, los sistemas operativos móviles no impiden que las aplicaciones instaladas accedan a los datos de la plétora de sensores de movimiento como acelerómetro, giroscopio, NFC, movimiento y proximidad.

Cualquier aplicación malintencionada puede utilizar estos datos para fines nefastos. Lo mismo ocurre con los sitios malformados.

"La mayoría de los teléfonos inteligentes, tabletas y otros dispositivos portátiles están equipados ahora con una multitud de sensores, desde los bien conocido GPS, cámara y micrófono a instrumentos como el giroscopio, la proximidad, la NFC y los sensores de rotación y el acelerómetro", dijo la Dra. Maryam Mehrnezhad, investigadora principal del documento, describiendo la investigación.

"Pero debido a que las aplicaciones y sitios web móviles no necesitan pedir permiso para acceder a la mayoría de ellos, los programas malintencionados pueden "escuchar" los datos de los sensores y usarlos para descubrir una amplia gama de información sensible como el tiempo de llamada telefónica, actividades físicas e incluso las acciones táctiles, PIN y contraseñas".

Video demostración del ataque

Los científicos han demostrado incluso un ataque que puede registrar datos de alrededor de 25 sensores en un teléfono inteligente. También han proporcionado una demostración en vídeo de su ataque, mostrando cómo su script malicioso está recolectando datos de sensores desde un dispositivo iOS.

El equipo escribió un archivo Javascript malicioso con la capacidad de acceder a estos sensores y registrar sus datos de uso. Esta secuencia de comandos malintencionada se puede incrustar en una aplicación para dispositivos móviles o cargarla en un sitio web sin nuestro conocimiento.

Ahora todo lo que necesita un atacante es engañar a las víctimas para que instalen la aplicación malintencionada o visiten el sitio web deshonesto.

Una vez hecho esto, sea cual sea el tipo de víctima en su dispositivo mientras la aplicación o sitio web malicioso se ejecuta en el fondo de su teléfono, el script malicioso seguirá accediendo a los datos de varios sensores y registrando la información necesaria para adivinar el PIN o contraseñas y luego enviarlas al servidor de un atacante.

Adivinar PIN y contraseñas con un alto grado de precisión

Los investigadores fueron capaces de adivinar PIN de cuatro dígitos en el primer intento con el 74% de precisión y en el quinto intento con el 100% de precisión basándose en los datos registrados desde 50 dispositivos usando datos recogidos de sensores de movimiento y orientación que no requieren ninguna permiso especial de acceso.

Los científicos fueron incluso capaces de utilizar los datos recogidos para determinar dónde estaban haciendo tapping y desplazamiento los usuarios, lo que estaban escribiendo en una página web móvil y en qué parte de la página estaban haciendo clic.

Los científicos dijeron que su investigación no era más que para sensibilizar de los diversos sensores en un teléfono inteligente a pueden acceder las aplicaciones sin ningún permiso y para los proveedores que aún no han incluido ninguna restricción en su modelo de permisos estándar incorporado.

"A pesar de los riesgos muy reales, cuando preguntamos a las personas de qué sensores estaban más preocupados, encontramos una correlación directa entre el riesgo percibido y la comprensión", dijo Mehrnezhad. "Así que la gente estaba mucho más preocupada por la cámara y el GPS que por los sensores silenciosos".

Mehrnezhad dice que el equipo ha alertado a los principales proveedores de navegadores como Google y Apple de los riesgos, y mientras algunos, incluyendo Mozilla y Safari, han solucionado parcialmente el problema, el equipo sigue trabajando con la industria para encontrar una solución ideal.

Más detalles técnicos se pueden encontrar en el documento completo de investigación, titulado "Stealing PINs via mobile sensors: actual risk versus user perception", publicado el martes en el International Journal of Information Security.

Jesus_Caceres