El giroscopio de tu SmartPhone: Un espía silencioso

El giroscopio de tu Smartphone: Un espía silencioso

A todos nos preocupa quien tiene acceso al GPS, la cámara y el micrófono de nuestro Smartphone. Pero los hackers quizás apunten a otro sensor: El giroscopio

A todo el mundo le preocupa su privacidad. Las empresas fabricantes de los grandes sistemas operativos prestan especial atención a este asunto. Algunas, como Google, te informan cuando una aplicación está solicitando permiso para acceder a ciertos sensores. Esto, solo si son considerados sensibles debido a los datos que estos proporcionan.

Mientras que a todos nos preocupa quien tiene acceso al GPS, a la cámara o el micrófono de nuestro Smartphone, los delincuentes podrían estar apuntando a otro sensor aparentemente inocuo: El giroscopio.

Dentro del compendio de sensores que tiene nuestro Smartphone, existen algunos con los que las políticas de seguridad son más flexibles. Esto es debido a que la información que estos proporcionan no necesariamente debería poderte identificar o invadir tu privacidad. Sin embargo, varios investigadores de seguridad se han encargado de demostrar lo contrario.

En un estudio reciente, investigadores de la Universidad Newcastle en Reino Unido fueron capaces de adivinar el PIN de bloqueo de un Smartphone usando solo los datos del giroscopio. Según indican en el estudio, a parte del giroscopio, identificaron unos 25 sensores presentes en los Smartphone, que pudiesen ser usados para filtrar información confidencial sin requerir la autorización previa del usuario.

Los investigadores fueron capaces de adivinar un PIN de cuatro dígitos usando solo datos del giroscopio. La precisión es increiblemente alta. Al primer intento lograron un 70% de precisión. Pero si se realizaban 5 intentos, la precisión aumenta a 100%.

Aunque esto suena preocupante y la posibilidad de un ataque está allí, los investigadores son optimistas e indican que para la realización de este ataque se requiere más que simplemente la data del giroscopio.

Quizás te interese:   Meizu presenta un sistema de carga que aplasta al de Samsung

Para entrenar el algoritmo, fue necesario que los participantes escribieran hasta cinco veces 50 números PIN ya conocidos. Esto con el objetivo de que el sistema pudiese aprender como sostienen el dispositivo en cada caso.

Esto parece bastante trabajo a primera vista. Sin embargo, hemos visto que, si el objetivo es suficientemente importante, los atacantes son capaces de tomarse muchas molestias para realizar ataques altamente sofisticados.

La data de los sensores de orientación, el giroscopio, el acelerómetro, etc., es tan precisa que pudiese ser usada inclusive para monitorear en qué lugar de una aplicación o página web, el usuario está pulsando. Lo peor de todo es que ni el explorador ni el sistema operativo, consideran a esta información sensible por lo que cualquiera puede pedir permiso para usarla y será autorizado sin que el usuario siquiera se entere.

Es un poco como armar un rompecabezas, mientras más piezas juntas, más fácil es de ver la imagen. Así que los sensores internos proporcionan un pedacito diferente del rompecabezas. Los Fitness Trackers que usamos en la muñeca por su misma naturaleza, se diseñan para seguir el movimiento de su mano y pasar la información a su perfil en línea, y estos plantean una amenaza completamente nueva. Potencialmente, son capaces de proporcionar información adicional que, cuando se combina con datos de otros sensores, hará que sea aún más fácil descifrar la información personal.

Dr Siamak Shahandashti, Asociado Senior de Investigación en la Escuela de Ciencias de la Computación y coautor del estudio.

Y este no es el único caso. Hace un tiempo unos investigadores de Stanford demostraron algo bastante preocupante. Usando solo los datos obtenidos del giroscopio, eran capaces de obtener los patrones de vibración del ambiente en el rango de los 80-250Hz y transformarlo en sonido. Si, convirtieron el giroscopio de un Smartphone en un micrófono de corto alcance.

Quizás te interese:   Google presenta reCAPTCHA invisible ¿Facilidad o intrusión?

De hecho, existe una aplicación para Android que puede ser usada como prueba de concepto de esto llamada Gyrophone. La aplicación está en una etapa bastante temprana. Sin embargo, es una prueba de concepto interesante. Sobre todo porque los sistemas actuales IOS y Android, no solicitan permisos especiales para obtener los datos del giroscopio.

Existe toda una ponencia de los responsables del estudio en la conferencia de BlackHat del 2014. A continuación, pueden verla, junto con la prueba de concepto elaborada por los investigadores de Stanford.

Gyrophone: Eavesdropping Using a Gyroscope

No importa cómo escribamos. Ya sea que sostengas el teléfono en una mano y uses el pulgar, o quizás sostengas con una mano y escribas con la otra; tanto si tocas o deslizas, el dispositivo se inclina de cierta manera particular. Es muy fácil empezar a reconocer los patrones de inclinación y movimientos asociados que usamos regularmente. De esta forma, se pueden crear perfiles que permiten identificar el comportamiento del usuario y registrar lo que se escribe en el dispositivo. Es decir, un KeyLogger improvisado.

Aunque estamos lejos de que nos espíen a través del giroscopio del Smartphone, es una posibilidad que se debería contemplar. Los fabricantes, a la hora de evaluar los permisos que requiere una aplicación, deberían ser más estrictos; pues estas podrían en un futuro, esconder intenciones bastante negras.

Recuerden dejar sus comentarios, alimentan el debate y nos ayudan a mejorar.

Fuente: SlashDot

Añadir Comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.