L'esquella de la torratxa

Inicio » Vida digital » Inclinar tu móvil es todo lo que necesita un hacker para robarte el PIN

Inclinar tu móvil es todo lo que necesita un hacker para robarte el PIN

Investigadores de la universidad británica de Newcastle encuentran las vulnerabilidades de varios sensores del teléfono que podrían ser aprovechadas por hackers.

movil-hackeado-mr-robot_ediima20170411_0721_19

Un móvil hackeado, en Mr Robot

Entre huellas dactilares, acelerómetro, giroscopio y luz ambiental, los teléfonos incorporan numerosos sensores que muchas veces no sabíamos ni que estaban ahí. En total, 10 elementos que le permiten saber a nuestro pequeño amigo de bolsillo si ayer caminamos veinte o treinta minutos después del trabajo, a la velocidad que fuimos, si ahora es de noche o si hace frío o calor. El móvil también sabe cuándo lo giramos para ver una película o jugar a un juego. Y ni que decir tiene que, por supuesto, sabe dónde estamos en cada momento.

Un equipo de investigadores de la Universidad de Newcastle, en Reino Unido, han descubierto una vulnerabilidad relacionada con el giroscopio que incluyen todos los  smartphones. Este sensor es el que se encarga de “chivar” si movemos el móvil a la izquierda o a la derecha, si le damos la vuelta o lo mantenemos en posición horizontal. Además, junto al acelerómetro, registra la aceleración angular y permite, por ejemplo, que la pantalla gire automáticamente al inclinar el móvil.

Los dos sensores funcionan de forma simultánea con el magnetómetro, que mide la intensidad del campo magnético alrededor del dispositivo. Es el mismo funcionamiento que el de una brújula para señalar el Norte o el Sur.

Gracias a estos tres sensores, el grupo de la Universidad de Newscastle dice tener un 74% de probabilidades de adivinar el PIN de un teléfono al primer intento. Al tercero cuentan con un 94%. Al quinto son infalibles. Solo necesitan que el dispositivo visite la web equivocada en el momento equivocado y se infecte del malware conveniente, uno que explota una vulnerabilidad de JavaScript a través del navegador.

maryam-mehrnezhad_ediima20170411_0707_19

Maryam Mehrnezhad explicando los resultados de su estudio YOUTUBE

Sin permiso, con autoridad para espiarte

Una vez infectado, los hackers pueden recopilar información de hasta 25 sensores del teléfono. Y no se termina ahí: los investigadores, además, han descubierto que en algunos buscadores basta con que el usuario tenga abierta la web desde la que se infectó y abra otra pestaña para espiar todo lo que haga allí. Los problemas crecen si por casualidad, desde esa pestaña estamos accediendo a nuestro banco o al correo.

“Precisamente porque las apps y las webs no necesitan pedir permiso para acceder a la mayoría de ellos [los sensores], programas maliciosos pueden “conectar” con tu sensor y usarlo para descubrir un amplio rango de información sensible sobre ti, como el tiempo de tus llamadas, actividades físicas e incluso tus acciones, PINs y contraseñas”, explica a The Guardian Maryam Mehrnezhad, una de las investigadoras del estudio.

Es habitual comprobar cómo, cada vez que nos bajamos o entramos en una app, esta nos pide permiso para acceder al micrófono, a nuestras fotos o la ubicación. No así las páginas webs que visitamos, que consideran que la información proporcionada por otros sensores no necesita de nuestra aprobación para ser compartida. Así que, cada sitio que la pide, la consigue. No son datos susceptibles de meternos en problemas, ¿no?

paso-malware-usuario-vulnerabilidad-javascript_ediima20170411_0722_19

Cómo se infecta un teléfono paso a paso: a) Malware cargado b) La pestaña de ataque ya está cargada mientras que el usuario se encuentra en otra diferente c) Usuario infectado d) La vulnerabilidad en JavaScript se hace con el control

Redes neuronales que adivinan el número PIN

El equipo de Mehrnezhad ha desarrollado un sistema a partir de una red neuronal a la que entrenaron con los datos de un grupo de voluntarios, que ganaron 10 libras en Amazon por presentarse a la prueba. Primero, los investigadores estudiaron cómo cogían el móvil y después les pidieron introducir 50 números PIN diferentes, cinco veces.

“A pesar de los riesgos reales, cuando preguntamos a la gente qué sensores les preocupaban más, encontramos una correlación directa entre riesgo percibido y comprensión”, explica la investigadora. Los voluntarios dijeron que les perturbaba más la cámara y el GPS del teléfono que los sensores invisibles, a pesar de que Mehrnezhad y su equipo acabaran de demostrarles que su PIN y muchas otras cosas más estaban en peligro.

Cada acción del usuario, cada click, cada scroll y cada toque en el teléfono podía ser monitorizado por los investigadores, que también sabían en qué zona de una web estaban pinchando o qué estaban escribiendo en un momento determinado.

Y de nada sirve tener un iPhone: la investigadora asegura que sus descubrimientos también funcionan en Safari (el navegador de los teléfonos de Apple) y que la compañía de Tim Cook ya está avisada, al igual que Google. También avisa que, al encontrarse este tipo de sensores en numerosos dispositivos, como tablets, wearables o aparatos del Internet de las Cosas, “deben ser gestionados de forma apropiada y segura” porque “pueden revelar todo sobre ti”.

Fuente: eldiario.es/cultura/tecnologia/privacidad/

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Jaume Satorra

Jaume Satorra

El hombre no posee el poder de crear vida. No posee tampoco, por consiguiente, el derecho a destruirla. (Mahatma Gandhi)

Ver perfil completo →

A %d blogueros les gusta esto: