Usted escribe, hacker descifra, su contraseña está condenada. Ese es el escenario sombrío que se discute en un documento que ahora se encuentra en arXiv. "Escuchar tu tacto:un nuevo canal lateral acústico en smartphones, "es de los autores Ilia Shumailov, Laurent Simon, Jeff Yan y Ross Anderson.

¿Qué sucede en el proceso de robo de esta manera? Corto y sencillo las ondas de sonido que emanan de su escritura en un teléfono se decodifican. Evaluaron la efectividad del ataque con 45 participantes en una tableta Android y un teléfono inteligente Android.

Buster Hein en Culto de Mac dijo con ondas de sonido viajando a través de la pantalla y el aire al micrófono del teléfono, el algoritmo predice de dónde provienen ciertas vibraciones.

Los investigadores dijeron:"grabando audio a través de los micrófonos integrados, una aplicación maliciosa puede inferir texto "a medida que el usuario lo ingresa en su dispositivo. El equipo recuperó con éxito 27 de 45 contraseñas en un teléfono, y 19 de 27 contraseñas en una tableta, escribiendo vibraciones.

Diseñaron un algoritmo de aprendizaje automático capaz de decodificar las vibraciones de las pulsaciones de teclas. El Washington Post :"Entre un grupo de prueba de 45 personas en varias pruebas, los investigadores pudieron replicar correctamente las contraseñas en los teléfonos inteligentes siete de 27 veces, dentro de 10 intentos. En tabletas, los investigadores lograron mejores resultados, clavar la contraseña 19 de 27 veces en 10 intentos ".

En realidad, un hacker puede robar su contraseña con solo escucharlo escribir? Ian Randall en Correo diario tenía más información sobre este "algoritmo de aprendizaje automático". Dijo que fue construido para tratar de hacer coincidir cada vibración con un punto particular en la pantalla de los dispositivos donde los usuarios habían tocado el teclado en pantalla mientras escribían o ingresaban una contraseña.

Los propios autores explicaron lo que estaba sucediendo:"Cuando un usuario toca la pantalla con un dedo, el grifo genera una onda de sonido que se propaga en la superficie de la pantalla y en el aire. Descubrimos que los micrófonos del dispositivo pueden recuperar esta onda y 'escuchar' el toque del dedo, y las distorsiones de la onda son características de la ubicación del grifo en la pantalla ".

El resultado:grabando audio a través del micrófono incorporado, una aplicación maliciosa puede inferir texto cuando el usuario lo ingresa en su dispositivo.

Para su experimento, usaron teléfonos y una tableta. Hubo 45 participantes en un entorno del mundo real. Y, cuando dicen mundo real, realmente se refieren al mundo real:

"Realizamos los experimentos fuera del entorno del laboratorio para simular más de cerca las condiciones de la vida real, mejorando así la validez del estudio ".

Los participantes actuaron en tres lugares diferentes:1) en una sala común, donde la gente charla y de vez en cuando una máquina de café hace alguna bebida con ruidos fuertes; 2) en una sala de lectura donde la gente escribe o habla en voz baja; y 3) en la biblioteca donde hay muchos sonidos de clic de computadoras portátiles. Los tres lugares tenían ruido ambiental proveniente de las ventanas abiertas.

¿Qué recomendaron los autores como salvaguardas y soluciones?

Los autores dijeron:"Los dispositivos móviles pueden necesitar un modelo de capacidad más rico, un sistema de notificación más fácil de usar para el uso del sensor y una evaluación más completa de la información filtrada por el hardware subyacente ".

En otra parte de la discusión, exploraron varias opciones, y uno de ellos era ofrecer "una función de entrada de PIN correctamente diseñada, que cuando una aplicación lo llamaba se quedaba temporalmente en blanco, y / o introducir ruido en, el canal del micrófono visto por otras aplicaciones. Este enfoque debería, lógicamente, extenderse a otros sensores que se pueden usar para recolectar PIN a través de canales laterales como el acelerómetro, giroscopio y cámara ".

También mencionaron que el sistema operativo introduciría jitter de sincronización, o sonidos de toque de señuelo, en el flujo de datos del micrófono. Esto dificultaría que un atacante intentara identificar las ubicaciones de los grifos.

"Como los grifos en sí mismos son bastante imperceptibles para los humanos, esto no debería perturbar las aplicaciones que se ejecutan en segundo plano y recopilan audio con el consentimiento del usuario ".

A nivel de aplicación, ellos dijeron, "una aplicación podría introducir sonidos de toque falsos en el dispositivo, para bloquear y confundir cualquier aplicación hostil que esté escuchando ". ellos dijeron, fue una contramedida de bajo costo.

© 2019 Science X Network