Los dispositivos móviles modernos están llenos de sensores (por ejemplo, GPS, cámara, micrófono, acelerómetro, magnetómetro, proximidad, giroscopio, podómetro, y NFC) que podría ser explotados por los hackers para recopilar datos sobre las actividades del propietario
Un grupo de investigadores de la Universidad de Newcastle demostró que hackers potencialmente pueden adivinar PINs y contraseñas introducidas por el propietario del dispositivo móvil mientras se autentifica en un sitio web o una aplicación. La técnica ideada por los expertos tiene un sorprendente grado de exactitud, los expertos pueden controlan el ángulo y el movimiento del teléfono mientras el propietario está escribiendo un código secreto.
Por desgracia, los teléfonos móviles no restringen sitios web y aplicaciones que accedan a los datos de los sensores.
“La mayoría de los teléfonos inteligentes, tabletas y otros wearables están equipadas con una multitud de sensores, de la conocida-GPS, cámara, y el micrófono para instrumentos como el giroscopio, la proximidad, NFC, y sensores de rotación y el acelerómetro,” “Robo de PIN a través de sensores móviles: el riesgo real en comparación con la percepción del usuario” que fue publicado por los expertos.
“Pero debido a que las aplicaciones móviles y sitios web no tienen que pedir permiso para acceder a la mayoría de ellos, de forma encubierta programas maliciosos pueden 'escuchar' en sus datos de sensores y lo utilizan para descubrir una amplia gama de información sensible acerca de usted como el teléfono de tiempo de llamada , actividades físicas e incluso sus acciones táctiles, PINs y contraseñas “.
Los investigadores fueron capaces de adquirir datos de alrededor de 25 sensores en un teléfono inteligente.
En el video que se muestra al final del articulo del ataque ideado por los investigadores, los expertos desarrollaron un script malicioso para recoger datos del sensor desde un dispositivo iOS.
La secuencia de comandos puede ser embebido en una aplicación móvil o se carga en un sitio web visitado por las víctimas. Esto significa que los atacantes sólo tienen que engañar a las víctimas para que visite un sitio web malicioso o bien la instalación de una aplicación maliciosa.
En este punto, cada vez que un tipo de víctimas por teléfono visite el sitio web o el uso de la aplicación maliciosa en el fondo del dispositivo, el script malicioso accederá a los datos de los sensores y la información de registro que podrían ser utilizados para adivinar un PIN o una contraseña.
Los investigadores fueron capaces de adivinar los PIN de cuatro dígitos en el primer intento con un 74% de precisión y en el quinto intento con 100% de precisión. Estos resultados se obtuvieron utilizando los datos registrados a partir de 50 dispositivos y mediante el uso de la información recogida de sólo los sensores de movimiento y orientación, estas categorías específicas de sensores no requieren ningún permiso especial para el acceso.
Los investigadores informaron de sus hallazgos a los principales proveedores de navegadores como Google y Apple, Mozilla y Safari ya han solucionado parcialmente el problema. De todos modos, los investigadores están trabajando con empresas de la industria de TI para encontrar una solución adecuada para mitigar definitivamente este tipo de ataques.
Fecha actualización el 2021-03-31. Fecha publicación el 2018-03-31. Categoría: Hackers. Autor: Oscar olg Mapa del sitio Fuente: securityaffairs