Un team di ricercatori dell'Università di Newcastle nel Regno Unito ha dimostrato come i criminali potrebbero rubare il passcode semplicemente monitorando il movimento del telefono. Non preoccuparti, lo scorso anno Apple ha emesso patch per impedire a chiunque di raccogliere dati sui sensori, ma gli utenti Android rischiano di essere rubati i loro passcode se visitano un sito Web non autorizzato o toccano un link malware. Sebbene Google sia a conoscenza del problema, stanno ancora cercando una soluzione.
Il metodo si basa sul rilevamento del modo in cui un utente inclina il proprio telefono durante la digitazione delle informazioni. I programmi dannosi ospitati su siti Web o inseriti in app legittime possono ascoltare segretamente i dati raccolti dai numerosi sensori interni del telefono e utilizzarli per scoprire una vasta gamma di informazioni sensibili su di te.
E con un po 'di aiuto dagli algoritmi avanzati di machine learning, il metodo presentato dai ricercatori dell'Università di Newcastle può persino decifrare PIN a quattro cifre con un'accuratezza del 70% sulla prima ipotesi e 100% sulla quinta ipotesi.
MANCIA: Proteggi i tuoi dispositivi iOS con passcode a 6 cifre
Il telefono di ogni persona crea schemi di movimento distinti.
Per comprendere questi schemi, i ricercatori hanno addestrato una rete neurale artificiale con dati raccolti da persone che digitano passcode per accedere a vari account.
Secondo l'autore principale Dr. Maryam Mehrnezhad:
La maggior parte degli smartphone, tablet e altri dispositivi indossabili sono ora dotati di una moltitudine di sensori, dal noto GPS, fotocamera e microfono a strumenti come il giroscopio, prossimità, NFC e sensori di rotazione e accelerometro.
Tuttavia, poiché le app e i siti Web per dispositivi mobili non devono richiedere l'autorizzazione per accedere alla maggior parte di essi, i programmi dannosi possono "ascoltare" di nascosto i dati del sensore e utilizzarli per scoprire una vasta gamma di informazioni sensibili su di te, ad esempio i tempi delle chiamate telefoniche, attività fisiche e persino azioni tattili, PIN e password.
Ancora più preoccupante, su alcuni browser, abbiamo scoperto che se apri una pagina sul tuo telefono o tablet che ospita uno di questi codici dannosi e quindi apri, ad esempio, il tuo conto bancario online senza chiudere la scheda precedente, allora possono spiare ogni dettagli personali inseriti.
E peggio ancora, in alcuni casi, a meno che non li chiuda completamente, possono persino spiarti quando il telefono è bloccato.
I ricercatori stanno ora valutando se i dati di movimento prodotti da fitness tracker e dispositivi indossabili come Apple Watch, inclusi i dati sui minimi movimenti del polso, nonché attività fisiche generali come sedersi, camminare, correre e diverse forme di pendolarismo, potrebbero rappresentare un rischio per il tuo vita privata.
Come accennato, Apple ha rilasciato una patch per l'ultimo anno come parte di iOS 9.3.
Se desideri saperne di più sulla vulnerabilità, leggi il white paper.
Fonte: Newcastle University (1), (2) via Engadget
