Demuestran malware capaz de registrar golpes de pantalla táctil en móviles
Neal Hindocha, investigador senior de seguridad de Trustwave, ha construido un malware como prueba de concepto (PoC) que monitorea los golpes dedo en dispositivos móviles y toma capturas de pantalla.
El malware registra las coordenadas X e Y de cualquier golpe o toque de pantalla. Hablando con Forbes, Hincocha dijo que no representa mucho trabajo hacer funcionar el código en iOS con Jailbreaking o dispositivos Android rooteados, y que es posible conseguir que funcione en los Android regulares, siempre que sean enchufadas a una PC, mientras se carga por USB.
"Si se está monitoreando todos los eventos de toque y el teléfono no fue tocado durante al menos una hora, entonces puedes asumir que un mínimo de cuatro eventos de toque corresponden a un PIN que el usuario acaba de ingresar. Lo más interesante es, si se consigue una captura de pantalla y luego lograr superponerla con los eventos de tacto. El resultado final es que no importa cómo un usuario ingrese la información: todo va a ser capturado".
Hindocha demostrará su concepto en la próxima Conferencia de RSA Security, y ayudará a que los desarrolladores de aplicaciones a comprender la importancia de estas cuestiones.
Cristian de la Redacción de Segu-Info
El malware registra las coordenadas X e Y de cualquier golpe o toque de pantalla. Hablando con Forbes, Hincocha dijo que no representa mucho trabajo hacer funcionar el código en iOS con Jailbreaking o dispositivos Android rooteados, y que es posible conseguir que funcione en los Android regulares, siempre que sean enchufadas a una PC, mientras se carga por USB.
"Si se está monitoreando todos los eventos de toque y el teléfono no fue tocado durante al menos una hora, entonces puedes asumir que un mínimo de cuatro eventos de toque corresponden a un PIN que el usuario acaba de ingresar. Lo más interesante es, si se consigue una captura de pantalla y luego lograr superponerla con los eventos de tacto. El resultado final es que no importa cómo un usuario ingrese la información: todo va a ser capturado".
Hindocha demostrará su concepto en la próxima Conferencia de RSA Security, y ayudará a que los desarrolladores de aplicaciones a comprender la importancia de estas cuestiones.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!