"Los sensores de movimiento integrados en los teléfonos inteligentes podrían ofrecer a los atacantes una forma de inferir PIN de seguridad, según descubrieron investigadores de la Universidad de Newcastle.
Los teléfonos inteligentes actuales vienen repletos de estos sensores, que van desde los más conocidos como GPS, cámara, micrófono y lectores de huellas dactilares, pero también incluyen acelerómetros, giroscopios, sensores de luz ambiental, magnetómetros, sensores de proximidad, barómetros, termómetros y sensores de humedad del aire. – por nombrar sólo algunos de los 25 estimados en los modelos mejor equipados.
Se trata de una gran cantidad de datos a los que puede apuntar una aplicación fraudulenta o un sitio web malicioso, muchos de los cuales no están cubiertos por ningún sistema consistente de permisos o notificaciones.
El estudio de la Universidad de Newcastle se centró en los sensores que registran la orientación, el movimiento y la rotación de un dispositivo que, según la teoría del equipo, podrían usarse para revelar acciones táctiles específicas.
La metodología implicó que 10 usuarios de teléfonos inteligentes ingresaran 50 PIN de prueba de cuatro dígitos cinco veces cada uno en una página web, lo que proporcionó datos para entrenar la red neuronal utilizada para adivinar los PIN.
Al final, la red adivinó el PIN correcto en su primer intento en un impresionante 70% de las veces. En la quinta suposición, la tasa de éxito alcanzó el 100%.
A modo de comparación, el equipo calcula que una suposición aleatoria de un PIN de cuatro dígitos (entre 10.000 posibilidades) tendría una probabilidad de acertar sólo el 2% de las veces en la primera ocasión y el 6% de las veces en la tercera suposición.
Se trata de una tasa de conjeturas impresionante. Entonces, ¿deberían preocuparse los usuarios de teléfonos inteligentes?
A corto plazo, en realidad no. Entrenar la red neuronal para alcanzar este nivel de precisión requirió una gran cantidad de datos de entrenamiento (250 PIN por usuario objetivo) en los que basar sus inferencias sobre qué teclas habían tocado los individuos.
La recopilación de cada uno de esos PIN solo se podía lograr bajo condiciones específicas, como si un atacante estuviera ejecutando una aplicación fraudulenta o hubiera atraído al usuario a un sitio web que ejecutaba código JavaScript malicioso en una pestaña que permanecía abierta mientras ingresaba un PIN en otro sitio.
En condiciones del mundo real, esto sería bastante difícil de lograr. En cualquier caso, señala el equipo, hasta una cuarta parte de los usuarios de teléfonos inteligentes eligen PIN de un conjunto predecible de 20 secuencias comunes como 1234, 0000 o 1000, por lo que la adivinación neuronal avanzada de PIN podría ser excesiva.
Lo que el estudio nos dice es que la forma en que alguien sostiene, hace clic, se desplaza y toca un teléfono inteligente genera datos que no son tan indescifrables o aleatorios como la gente probablemente piensa.
La autora principal del estudio, la Dra. Maryam Mehrnezhad, dijo: "Todos clamamos por el último teléfono con las últimas funciones y una mejor experiencia de usuario, pero como no existe una forma uniforme de gestionar los sensores en toda la industria, representan una amenaza real para nuestra seguridad personal. "
Una solución sería ampliar los permisos de los sensores para que los usuarios puedan ver cuándo un sitio o una aplicación maliciosa accede a ellos. Pero ahora hay tantos de ellos en los teléfonos inteligentes que podrían provocar una sobrecarga de notificaciones.
Las otras sugerencias del equipo (cambiar los PIN con regularidad, verificar los permisos de las aplicaciones antes de la instalación, cerrar pestañas y aplicaciones en segundo plano) son acertadas, pero es poco probable que causen mucha impresión en el usuario promedio de teléfonos inteligentes si se tiene en cuenta el historial de consejos de seguridad.
Alternativamente, la gente podría simplemente usar PIN más largos o, mejor aún, la industria podría deshacerse de ellos por completo (como se está haciendo en otros lugares) en favor de mejores opciones de seguridad. A los usuarios les gustan los PIN, pero como dice el remate, sus días seguramente están contados".
Fuente: John E Dunn, nudesecurity.sophos.com