"Los sensores de movimiento integrados en los teléfonos inteligentes podrían ofrecer a los atacantes una forma de inferir los PIN de seguridad, han descubierto investigadores de la Universidad de Newcastle."
Los smartphones de hoy vienen equipados con estos sensores, que van desde los más conocidos como GPS, cámara, micrófono y lectores de huellas dactilares, pero también incluyen acelerómetros, giroscopios, sensores de luz ambiental, magnetómetros, sensores de proximidad, barómetros, termómetros y sensores de humedad del aire, por nombrar solo algunos de los aproximadamente 25 en los modelos mejor equipados.
Eso es una gran cantidad de datos para que una aplicación maliciosa o un sitio web malicioso apunten, gran parte de los cuales no está cubierta por ningún sistema de permisos o notificaciones consistente.
El estudio de la Universidad de Newcastle se centró en los sensores que registran la orientación, el movimiento y la rotación de un dispositivo, que, según teorizó el equipo, podrían usarse para revelar acciones táctiles específicas.
La metodología involucró a 10 usuarios de smartphones ingresando 50 PINs de prueba de cuatro dígitos cinco veces cada uno en una página web, lo que proporcionó datos para entrenar la red neuronal utilizada para adivinar los PINs.
En el evento, la red adivinó el PIN correcto en su primer intento un impresionante 70% de las veces. Para el quinto intento, la tasa de éxito alcanzó el 100%.
Para comparación, el equipo estima que una suposición aleatoria de un PIN de cuatro dígitos (de 10,000 posibilidades) tendría una probabilidad de ser correcta solo el 2% de las veces en la primera ocasión y el 6% de las veces en la tercera suposición.
Esa es una tasa de adivinanza impresionante, ¿deberían preocuparse los usuarios de smartphones?
A corto plazo, no realmente. Entrenar la red neuronal para alcanzar este nivel de precisión requirió una gran cantidad de datos de entrenamiento: 250 PINs por usuario objetivo, sobre los cuales basar sus inferencias sobre qué teclas habían tocado los individuos.
Reunir cada uno de esos PINs solo podría lograrse bajo condiciones específicas, como si un atacante estuviera ejecutando una aplicación maliciosa o hubiera engañado al usuario para que accediera a un sitio web que ejecutaba código JavaScript malicioso en una pestaña que permanecía abierta mientras ingresaba un PIN en otro sitio.
Bajo condiciones del mundo real, esto sería bastante difícil de lograr. En cualquier caso, el equipo señala que hasta un cuarto de los usuarios de smartphones eligen PINs de un conjunto predecible de 20 secuencias comunes, como 1234, 0000 o 1000, por lo que la adivinanza avanzada de PINs mediante redes neuronales podría ser excesiva.
Lo que el estudio nos dice es que la forma en que alguien sostiene, hace clic, desplaza y toca en un smartphone genera datos que no son tan indescifrables o aleatorios como la gente probablemente piensa.
La autora principal del estudio, la Dra. Maryam Mehrnezhad, dijo: "Todos clamamos por el último teléfono con las últimas características y una mejor experiencia de usuario, pero debido a que no hay una forma uniforme de gestionar los sensores en toda la industria, representan una verdadera amenaza para nuestra seguridad personal."
Una solución sería extender los permisos de los sensores para que los usuarios puedan ver cuándo un sitio o aplicación maliciosa los está accediendo. Pero ahora hay tantos de ellos dentro de los teléfonos inteligentes que esto podría llevar a una sobrecarga de notificaciones.
Las otras sugerencias del equipo – cambiar los PINs regularmente, verificar los permisos de la aplicación antes de la instalación, cerrar las pestañas y aplicaciones en segundo plano – son sensatas, pero es poco probable que tengan un gran impacto en el usuario promedio de smartphone si la historia de los consejos de seguridad es algo a tener en cuenta.
"Alternativamente, las personas podrían simplemente usar PINs más largos o, mejor aún, la industria podría deshacerse de ellos por completo (como se está haciendo en otros lugares) a favor de mejores opciones de seguridad. A los usuarios les gustan los PINs, pero como dice el chiste, sus días están contados."
Fuente: John E Dunn, nakedsecurity.sophos.com