Al utilizar este servicio y el contenido relacionado, aceptas el uso de cookies para análisis, contenido personalizado y publicidad.
Estás usando una versión más antigua del explorador. Usa una versión compatible para obtener la mejor experiencia en MSN.

Inclinar tu móvil es todo lo que necesita un hacker para robarte el PIN

Logotipo de eldiario.es eldiario.es 11/04/2017 David Sarabia

Un móvil hackeado, en Mr Robot © eldiario.es Un móvil hackeado, en Mr Robot
Entre huellas dactilares, acelerómetro, giroscopio y luz ambiental, los teléfonos incorporan numerosos sensores que muchas veces no sabíamos ni que estaban ahí. En total, 10 elementos que le permiten saber a nuestro pequeño amigo de bolsillo si ayer caminamos veinte o treinta minutos después del trabajo, a la velocidad que fuimos, si ahora es de noche y si hace frío o calor. El móvil también sabe cuándo lo giramos la pantalla para ver una película o jugar a un juego. Y ni que decir tiene que, por supuesto, sabe dónde estamos en cada momento.

Un equipo de investigadores de la Universidad de Newcastle, en Reino Unido, han descubierto una vulnerabilidad relacionada con el giroscopio que incluyen todos los smartphones. Este sensor es el que se encarga de "chivar" si movemos el móvil a la izquierda o a la derecha, si le damos la vuelta o lo mantenemos en posición horizontal. Además, junto al acelerómetro, registra la aceleración angular y permite, por ejemplo, que la pantalla gire automáticamente al inclinar el móvil.

Los dos sensores funcionan de forma simultánea con el magnetómetro, que mide la intensidad del campo magnético alrededor del dispositivo. Es el mismo funcionamiento que el de una brújula para señalar el Norte o el Sur.

Gracias a estos tres sensores, el grupo de la Universidad de Newscastle dice tener un 74% de probabilidades de adivinar el PIN de un teléfono al primer intento. Al tercero cuentan con un 94%. Al quinto son infalibles. Solo necesitan que el dispositivo visite la web equivocada en el momento equivocado y se infecte del malware conveniente, uno que explota una vulnerabilidad de JavaScript a través del navegador.

Maryam Mehrnezhad explicando los resultados de su estudio © Proporcionado por El Diario de Prensa Digital SL Maryam Mehrnezhad explicando los resultados de su estudio

Sin permiso, con autoridad para espiarte

Una vez infectado, los hackers pueden recopilar información de hasta 25 sensores del teléfono. Y no se termina ahí: los investigadores, además, han descubierto que en algunos buscadores basta con que el usuario tenga abierta la web desde la que se infectó y abra otra pestaña para espiar todo lo que haga allí. Los problemas crecen si por casualidad, desde esa pestaña estamos accediendo a nuestro banco o al correo.

"Precisamente porque las apps y las webs no necesitan pedir permiso para acceder a la mayoría de ellos [por los sensores], programas maliciosos pueden "conectar" con tu sensor y usarlo para descubrir un amplio rango de información sensible sobre ti, como el tiempo de tus llamadas, actividades físicas e incluso tus acciones, PINs y contraseñas", explica a The Guardian Maryam Mehrnezhad, una de las investigadoras del estudio.

Es habitual comprobar cómo, cada vez que nos bajamos o entramos en una app, esta nos pide permiso para acceder al micrófono, a nuestras fotos o la ubicación. No así las páginas webs que visitamos, que consideran que la información proporcionada por otros sensores no necesita de nuestra aprobación para ser compartida. Así que, cada sitio que la pide, la consigue. No son datos susceptibles de meternos en problemas, ¿no?

Cómo se infecta un teléfono paso a paso: a) Malware cargado b) La pestaña de ataque ya está cargada mientras que el usuario se encuentra en otra diferente c) Usuario infectado d) La vulnerabilidad en JavaScript se hace con el control © Proporcionado por El Diario de Prensa Digital SL Cómo se infecta un teléfono paso a paso: a) Malware cargado b) La pestaña de ataque ya está cargada mientras que el usuario se encuentra en otra diferente c) Usuario infectado d) La vulnerabilidad en JavaScript se hace con el control

Redes neuronales que adivinan el número PIN

El equipo de Mehrnezhad ha desarrollado un sistema a partir de una red neuronal a la que entrenaron con los datos de un grupo de voluntarios. Primero, los investigadores estudiaron cómo cogían el móvil y después les pidieron introducir 50 números PIN diferentes, cinco veces.

"A pesar de los riesgos reales, cuando preguntamos a la gente qué sensores les preocupaban más encontramos una correlación directa entre riesgo percibido y comprensión", explica la investigadora. Los voluntarios dijeron que les preocupaban más la cámara y el GPS del teléfono que los sensores invisibles, a pesar de que Mehrnezhad y su equipo acabaran de demostrarles que su PIN y muchas otras cosas más estaban en peligro.

Cada acción del usuario, cada click, cada scroll y cada toque en el teléfono podía ser monitorizado por los investigadores, que también sabían en qué zona de una web estaban pinchando o qué estaban escribiendo.

Y de nada sirve tener un iPhone: la investigadora asegura que sus descubrimientos también funcionan en Safari (el navegador de los teléfonos de Apple) y que la compañía de Tim Cook ya está avisada, como Google. También avisa que, al encontrarse este tipo de sensores en numerosos dispositivos, como tablets, wearables o dispositivos del Internet de las Cosas, "deben ser gestionados de forma apropiada y segura" porque "pueden revelar todo sobre ti".

Gestión anuncios
Gestión anuncios

Ir al sitio completo

image beaconimage beaconimage beacon