Ya tenemos un nuevo problema de seguridad en nuestros móviles, y lo cierto es que la forma en que un estudio ha resuelto que puede detectar cuál es nuestro código PIN es bastante ingeniosa. Un estudio que proviene de la Universidad de Newcastle, en Inglaterra, y que afirma tener unos niveles de precisión bastante altos, vistos los resultados del mismo.
En esta ocasión la culpa no se la debemos echar al cifrado del sistema ni a ningún tipo de bug o zero-day, la culpa es nuestra y de los sensores que incluyen nuestros teléfonos móviles. Concretamente, la culpa es del acelerómetro, el sensor dedicado a detectar cómo movemos nuestro teléfono móvil y hacia dónde lo giramos.
Pin detectado al primer o segundo intento
Nuestros teléfonos móviles están plagados de sensores y uno de ellos puede jugarnos una mala pasada según este estudio de la Universidad de Newcastle. El acceso a estos sensores se permite a través de software sin restricciones que podamos aplicar desde la propia interfaz. Aquí no hablamos de dar acceso al teléfono o a las llamadas, sino a piezas de nuestro teléfono que no requieren de nuestra autorización.
Gracias a esta barra libre de accesos, un software preparado para ello podría ser capaz de leer los movimientos que hacemos con el teléfono cuando tecleamos nuestro código PIN. Los sutiles giros, las vibraciones e incluso los cambios de inclinación del teléfono, gestos aparentemente aleatorios que realizamos cuando tecleamos contraseñas y que ahora resulta que pueden leerse con bastante facilidad.
Todo está en cómo tecleemos; si sujetamos el teléfono con una mano y usamos el pulgar, o quizá lo sujetamos con una mano y tecleamos con la otra, y también si pulsamos o deslizamos. El teléfono se inclinará de una forma concreta y es bastante fácil de reconocer estos patrones asociados a "formas de pulsación" que usamos habitualmente.
El grado de precisión que puede conseguirse con estas lecturas a través del acelerómetro es realmente impresionante. Maryam Mehrnezhad, autor de este estudio sobre la lectura de códigos de la Universidad de Newcastle, afirma que pueden obtener el código que hemos tecleado en una sola lectura con un 70% de precisión, pero que el porcentaje de acierto aumenta hasta el 100% con la lectura de un segundo tecleo.
Esto significa que, si tenemos algún tipo de malware alojado en el teléfono que aproveche este tipo de lectura, sólo necesitaría que introdujésemos el código PIN en un par de ocasiones para descifrarlo a la perfección. Sin duda un punto muy interesante que los fabricantes deberán valorar a partir de ahora, aunque algunos ya han puesto soluciones por el camino.
Ya han contactado con varios fabricantes
Recordamos, por ejemplo, a los BlackPhone, móviles ultraseguros diseñados en España que cuentan con una funcionalidad que, de partida, se lo pondría casi imposible a este sistema de hackeo. Los BlackPhone incorporan un teclado para introducir el PIN de seguridad que varía los números de posición de forma aleatoria. Así nunca introducimos el PIN de la misma forma y eso haría imposible leer nuestros movimientos.
Como afirman los propios autores de este estudio, los grandes fabricantes de teléfonos ya han sido avisados de este "agujero" de seguridad que han encontrado al usar estos sensores, pero que ninguno de ellos les ha contestado por el momento. "Es una batalla entre la usabilidad y la seguridad", afirma Mehrnezhad. Veremos en qué acaban estas conversaciones, si llegan a producirse.
Vía | Techradar
Más información | The International Journal of Information Security
En Xataka Móvil | Reemplazar un QR por uno fraudulento, el simple método de robo que usan los delicuentes en China
Ver 3 comentarios