El malware que apunta a dispositivos móviles ha aumentado mucho en los últimos tiempos. Esto es así ya que cada vez utilizamos más el teléfono móvil para navegar. Tenemos aplicaciones bancarias y otras sensibles a las que pretenden acceder los ciberdelincuentes. Hoy nos hacemos eco de que aplicaciones maliciosas pueden acceder libremente a los datos de los sensores del teléfono y utilizar esta transmisión de datos altamente confidencial para recopilar diferente información sobre el propietario del teléfono, información que luego pueden usar para adivinar el PIN del móvil del usuario.
Adivinar el PIN con los sensores del teléfono
Esta es la conclusión de la investigación publicada por investigadores de la Nanyang Technological University (NTU) en Singapur. Los tres científicos detrás de este trabajo son solo el grupo más reciente de investigadores que han notado un agujero de seguridad evidente en el diseño de sistemas operativos móviles modernos como Android e iOS.
Los investigadores dicen que estos sistemas operativos no requieren que las aplicaciones soliciten permisos a los usuarios antes de acceder a los datos del sensor. Como sabemos, Android e iOS son los sistemas operativos más utilizados en dispositivos móviles. Tanto en teléfonos como tabletas, son los que más usuarios tienen.
Para probar su teoría, los investigadores crearon una aplicación de Android que instalaron en dispositivos de prueba que recopilaron datos de forma silenciosa de seis sensores: acelerómetro, giroscopio, magnetómetro, sensor de proximidad, barómetro y sensor de luz ambiental.
El algoritmo analizó los datos del sensor recopilados y pudo distinguir entre presiones en diferentes teclas observando la inclinación del dispositivo (coordenadas espaciales y angulares) y la luz ambiental cercana cada vez que el usuario movía el dedo sobre la pantalla táctil del teléfono para ingresar el PIN y desbloquear el dispositivo.
Experimento
Durante su experimento, el equipo de investigación utilizó solo datos de sensores de 500 operaciones de ingreso de PIN al azar provistas por tres candidatos. Esto significa que el algoritmo podría ser más preciso a medida que recolecta más datos.
Basado en las muestras del equipo de investigación, el algoritmo pudo adivinar un código PIN con una precisión del 99.5% en el primer intento usando PIN de una lista de los 50 números de PIN más comunes. Investigaciones anteriores tuvieron una tasa de éxito del 74% utilizando la misma lista de los 50 números PIN más comunes, dijo el equipo de investigación.
La tasa de éxito disminuyó del 99.5% al 83.7% cuando los investigadores trataron de adivinar las 10.000 combinaciones posibles de PIN de cuatro dígitos en 20 intentos.
El problema real, como así indica el equipo de NTU, es la capacidad de las aplicaciones para acceder a los datos del sensor sin preguntar previamente a los usuarios. Tanto Android como iOS se ven afectados por este problema.
Los investigadores aseguran que este fallo del sistema operativo podría ser utilizado de muchas otras formas y podría ser usado para adivinar el PIN y mucho más.
Por ejemplo, en septiembre, los investigadores de Princeton recopilaron silenciosamente datos de los sensores de un teléfono para inferir con éxito la ubicación geográfica de un usuario sin pedir permiso al sujeto de la prueba para acceder al componente de rastreo por GPS de su teléfono.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad