Consiguen adivinar contraseñas de tu móvil por el sonido al pulsar la pantalla.

Para robar una contraseña tal cual es introducida en un teclado, la única opción es utilizar un keylogger, que esa contraseña sea transmitida por HTTP, o que el receptor de la contraseña sea una web o servicio controlada por un hacker. Sin embargo, un grupo de investigadores ha conseguido adivinar contraseñas a través del sonido que hacen nuestros dedos al tocar la pantalla del móvil.

Machine learning y micrófonos: lo único necesario para adivinar tu PIN y tu contraseña

Estos investigadores, de la Universidad de Cambridge y la de Linköping, han creado una técnica basada en machine learning que fue capaz de adivinar más de la mitad de los pines de 4 dígitos usados en tablets Android en uno de los escenarios que estuvieron probando. Además, en múltiples ocasiones consiguieron adivinar también letras y palabras enteras.

Cuando estamos pulsando la pantalla con los dedos, estamos emitiendo ondas de sonido. Y los móviles suelen tener al menos dos micrófonos: uno para llamadas, y otro para compensar el ruido ambiente. Así, sabiendo qué micrófono ha escuchado el sonido primero, el algoritmo analiza cuál es la diferencia de tiempo que ha tardado un micrófono y otro en captar el sonido de la pulsación en la pantalla.

A través de eso, el algoritmo estima en qué parte de la pantalla se ha originado el sonido. Con esto, consiguieron acertar el PIN introducido en un 73% de las ocasiones después de 10 intentos. En otra de las pruebas consiguieron adivinar el 30% de las contraseñas tras veinte intentos, las cuales tenían una longitud de entre 7 y 13 caracteres.

Es necesario que la app que esconde el malware tenga acceso al micrófono

Para poder aprovecharse de esto, un hacker tendría que instalar el malware en el móvil de la víctima, y que éste tuviera permiso de acceso al micrófono. El micrófono es uno de los permisos sensibles en Android, y por ello es necesario concedérselo a la app cuando la abrimos por primera vez, lo cual dificulta mucho que estas apps puedan tener acceso sencillo al micrófono. Sin embargo, el código sí podría introducirse en una aplicación que requiera acceso al micrófono para otras funciones. Si hay apps chinas que intentan robar la mayor cantidad de datos posibles y obtener datos de los sensores, seguro que hay muchas capaces de hacer uso de esta función.

El sistema sería mucho más preciso si los móviles tuvieran micrófonos en los laterales izquierdo y derecho. Al utilizar los micrófonos que hay arriba y abajo, se puede saber en qué parte del eje Y vertical se ha pulsado la tecla, pero es más difícil saber en qué parte del eje horizontal X se ha pulsado para conocer la fila de teclas. A pesar de ello, en la verticalidad también hay una ligera diferencia de distancia a la hora de pulsar la tecla, lo cual es lo que a permitido a los investigadores adivinarlas.

Fuente: Arxiv | adslzone