I dei ricercatori della Newcastle University hanno scoperto che analizzando i movimenti compiuti dal telefonino è possibile scovare pin e chiavi segrete. Ecco come
Ogni volta che compiamo un’azione sullo smartphone, questa ha una conseguenza concreta e documentata all’interno dello stesso. Parliamo del tap sull’icona di un’app, dello scrolling con due dita di una pagina web e di ciò che viene digitato sulla tastiera. Grazie agli innumerevoli sensori di cui sono dotati i dispositivi moderni, non c’è operazione che non generi un’informazione, teoricamente monitorabile dall’esterno. In realtà, il punto di partenza non è a scopo malevolo: giochi e piattaforme hanno bisogno di sapere dove viene toccato il display e per quale motivo, così da rispondere correttamente con i comandi dell’interfaccia. Il problema è che quando installiamo un software maligno, senza saperlo, diamo la possibilità agli hacker e ai criminali di accedere a una vasta mole di dati, utili per intrufolarsi negli account personali. Sembra impossibile? Eppure i ricercatori della Newcastle University lo hanno dimostrato, mettendo in pratica un metodo che riesce a intercettare i movimenti compiuti da un utente sul telefonino per scovare pin e password dei servizi più comunemente utilizzati.
Cosa succede
In che modo? Tramite uno JavaScript, nel caso specifico PINlogger.js, che ha accesso ai dati dei sensori di bordo, come il GPS, l’accelerometro, il magnetometro, il sensore di prossimità, il giroscopio, il pedometro, il microfono e la fotocamera. Una volta concesse le relative autorizzazioni alle app che le richiedono, non c’è limite per la raccolta delle coordinate fornite da questi. Così i ragazzi della Newcastle University sono riusciti a individuare le chiavi segrete di alcune applicazioni con un 74% di successo al primo colpo e del 100% dopo cinque tentativi. Nella pratica, attraverso un programma ad-hoc, chiunque può raccogliere informazioni basilari che svelano come una persona ha tenuto il telefonino in mano ad ogni lettera/numero impresso sulla tastiera, dopo l’apertura di un’app o di un sito web, e a cui corrisponde un certo angolo di inclinazione.
Troppi sensori autorizzati
Collegare quest’ultimo a una touch signature è semplice ed estremamente fruttuoso. Ma non solo: c’è anche l’evidenza che aprendo un’app maligna e poi controllando il conto in banca dal browser sul cellulare (così come qualsiasi altro servizio che richiede username e password), l’hacker può spiare i log che collegano i movimenti del touch ai tasti virtuali, rivelando così le chiavi segrete. Il team aveva già avvertito i produttori principali (come Mozilla e Apple) del problema, che è stato parzialmente risolto dagli update più recenti. Resta però il dubbio su quanto i sensori dei dispositivi raccontino a terzi ciò che si fa con lo smartphone, spesso anche in maniera illegittima, se si pensa che all’applicazione della banca non dovrebbe interessare accedere alla fotocamera o al GPS, almeno non in via esclusiva, pena l’impossibilità di utilizzazione da parte del cliente.
