PINLogger: usar los sensores para robar el PIN del smartphone [Paper]

Los dispositivos móviles registran más datos de los que realmente necesitan. El problema es que ese registro no siempre se informa al usuario. Muchas aplicaciones piden permisos excesivos, y en el caso de los navegadores, extraen valores de los sensores integrados. Un grupo de investigadores de la Universidad de Newcastle demostró que es posible utilizar esto de forma maliciosa con un nuevo ataque llamado PINLogger [PDF], el cual interpreta datos de los sensores y calcula el número PIN con una precisión del 94 por ciento, y en apenas tres intentos.

Muchos juegos de Android e iOS solicitan acceso a los sensores del dispositivo móvil por cuestiones técnicas, pero algunos ejemplos directamente caen en lo abusivo. ¿Para qué quiere un juego ver mi calendario o mi lista de contactos? Lo primero que nos viene a la mente es esa palabra mágica: Publicidad. El usuario promedio no le da mucho valor a esos datos secundarios que genera, pero hay gente allá afuera dispuesta a pagar para obtenerlos y brindar "una experiencia más personalizada". Ahora, ¿qué pasa si alguien encuentra la forma de utilizar dichos datos con objetivos maliciosos?

¿Qué puede entregar el smartphone?

Para comenzar… el número PIN. El ataque PINLogger basado en JavaScript puede "escuchar" el movimiento y la orientación de un dispositivo Android sin el permiso del usuario, analizar el flujo de datos enviado por los sensores y, a través de una red neuronal, calcular el número PIN.

El estudio indica que enfrentado a un PIN de cuatro dígitos, PINLogger logra descubrir el número un 74 por ciento de las veces al primer intento, un 86 por ciento al segundo, y un 94 por ciento en el tercer intento. Al contrario de otros ataques, PINLogger no requiere la instalación de software en el smartphone. Todo lo que necesita es que un navegador con el código malicioso en una página web quede abierto mientras el usuario ingresa el PIN.

Por supuesto, la efectividad de PINLogger depende del nivel de acceso a los sensores que tenga el navegador, y esto varía mucho según el software y el sistema operativo. Los ejemplos compartidos se enfocan en iOS 8 y Android Lollipop, técnicamente sin soporte pero aún muy usados. En general, los navegadores más invasivos son los alternativos, con Baidu y CM Browser a la cabeza. De momento, el acceso vía JavaScript se limita a un par de sensores, pero esto podría cambiar en el futuro. Tal vez sea hora de implementar restricciones de acceso a sensores "por aplicación", un sistema de listas blancas, o por qué no, manipulación directa de los permisos.

Fuente: NeoTeo