TapLogger: troyano experimental capaz de determinar contraseñas basándose en los movimientos de dispositivos Android
Un equipo de investigadores de la Universidad Estatal de Pensilvania (PSU) e IBM ha desarrollado un troyano basado en Android que puede utilizar los sensores de movimiento del smartphone para romper las contraseñas.
Bautizado como TapLogger es una aplicación experimental que se basa en la premisa de que, al tocar en la pantalla táctil, se está interactuando con la misma, pero también estamos moviendo todo el dispositivo. Así que si presionamos un botón en la esquina superior derecha, el teléfono en realidad se moverá en esa dirección un poco, y ese movimiento sutil es leído por el acelerómetro y otros sensores integrados del el dispositivo.
Los datos del acelerómetro y de los sensores de orientación no están protegidos por el modelo de seguridad de Android, y esto significa que están expuestos a cualquier aplicación, independientemente de sus permisos en el sistema.
Tenéis mayor detalle en el documento que fue presentado durante la Conferencia de ACM sobre Seguridad y Privacidad en Redes Inalámbricas y Móviles.
No es la primera vez que se diseña un troyano de estas características. En 2011 apareció TouchLogger, una aplicación para Android que tenía en cuenta un menor número de variables y no incluía entrenamiento, entre otras muchas diferencias. Más tarde, el mismo año, aparecería otra para iPhone, que hacía uso del acelerómetro y el giróscopo para averiguar qué palabras habían sido pulsadas en un teclado cercano teniendo en cuenta, a grandes rasgos, si se había pulsado una tecla "de la izquierda" del teclado o "de la derecha".
Fuente: HackPlayers e Hispasec
Bautizado como TapLogger es una aplicación experimental que se basa en la premisa de que, al tocar en la pantalla táctil, se está interactuando con la misma, pero también estamos moviendo todo el dispositivo. Así que si presionamos un botón en la esquina superior derecha, el teléfono en realidad se moverá en esa dirección un poco, y ese movimiento sutil es leído por el acelerómetro y otros sensores integrados del el dispositivo.Los datos del acelerómetro y de los sensores de orientación no están protegidos por el modelo de seguridad de Android, y esto significa que están expuestos a cualquier aplicación, independientemente de sus permisos en el sistema.
Tenéis mayor detalle en el documento que fue presentado durante la Conferencia de ACM sobre Seguridad y Privacidad en Redes Inalámbricas y Móviles.
No es la primera vez que se diseña un troyano de estas características. En 2011 apareció TouchLogger, una aplicación para Android que tenía en cuenta un menor número de variables y no incluía entrenamiento, entre otras muchas diferencias. Más tarde, el mismo año, aparecería otra para iPhone, que hacía uso del acelerómetro y el giróscopo para averiguar qué palabras habían sido pulsadas en un teclado cercano teniendo en cuenta, a grandes rasgos, si se había pulsado una tecla "de la izquierda" del teclado o "de la derecha".
Fuente: HackPlayers e Hispasec
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!