Un acelerómetro es un dispositivo transductor que detecta el movimiento o el giro, es decir, es capaz de responder con una señal eléctrica ante una perturbación inducida por la aplicación de una fuerza o la gravedad. Dicho así, quizás suene algo raro pero, en resumidas cuentas, es un tipo de sensor que llevan, por ejemplo, los tablets o los smartphones para detectar si están en horizontal o vertical o ejecutar determinada acción si, por ejemplo, los agitamos en el aire. Estos sensores, aparentemente, son inofensivos y su misión es ofrecer al usuario una experiencia mucho más cómoda, sin embargo, unos expertos en seguridad del Georgia Tech ven en estos sensores una potencial amenaza puesto que podrían ser capaces de detectar las teclas que pulsamos sobre el terminal y ser usados como un espía de lo que escribimos en el móvil.
Aunque a primera vista pueda parecer sacado de una película de James Bond, esta posibilidad fue presentada el jueves durante una conferencia celebrada en Chicago, el ACM CCS 2011. Allí se comentó que si alguien comprometía un terminal, por ejemplo, podía acceder al GPS y localizar al usuario, activar la cámara para ver qué había alrededor o activar el micrófono para grabar el sonido ambiente, sin embargo, ahí no terminaban las amenazas de seguridad porque el acelerómetro podría utilizarse para capturar lo que escribimos en nuestro terminal, incluyendo contraseñas. Según demostraron en su trabajo de investigación, si se depositaba el teléfono en horizontal sobre una superficie, mediante las señales generadas por el acelerómetro se podía ser capaz de reproducir las pulsaciones del usuario sobre la pantalla táctil, distinguiendo palabras con un 80% de acierto.
Según Patrick Traynor, profesor en la Escuela de Ciencias de la Computación del Georgia Tech e integrante de la investigación:
Hay información que se termina filtrando y es por culpa del hardware del teléfono. El acelerómetro es uno de los elementos por los que no nos preocupamos puesto que nadie pensaría que podrían sacarse datos útiles y significativos de él.
El acelerómetro del teléfono que usaron para la investigación tomaba 100 muestras por segundo, por tanto, no ofrecía datos suficientes como para reconstruir la secuencia exacta de teclas pulsadas así que, en vez de abordar el problema por ese camino, los investigadores decidieron usar la señal del acelerómetro para detectar si las teclas estaban en el lado izquierdo o derecho del terminal y, en base al tiempo entre pulsación y pulsación, ubicar la posición. Uniendo esta información a un diccionario con 58.000 palabras, los investigadores obtuvieron un listado acotado de palabras que, posiblemente, fueron tecleadas en el terminal.
Hay que reconocer que, aunque es bastante audaz, el método es algo rudimentario y se basa en una situación muy ideal: el usuario debe mantener el terminal totalmente plano, en la misma posición y no deben existir otro tipo de vibraciones que interfieran en la señal del acelerómetro. De hecho, ir en el coche o en el autobús introduce variaciones en la señal, algo que también pasa con el material de la superficie en la que se apoya el teléfono móvil. Pero, además, como resultado se pueden obtener múltiples palabras algo que hay que intentar reducir mucho más, por ejemplo, descartando las palabras que el usuario víctima del ataque jamás utilizaría.
Ese es el mejor caso base, el caso en el que el atacante conoce perfectamente a su víctima. Ese creo que es el escenario en el que este ataque sería mucho más fiel a la realidad.
¿Y con qué terminales realizaron los experimentos? Pues las primeras pruebas fueron realizadas con un iPhone 3GS dado que fue el primer terminal que encontraron cuyo acelerómetro ofrecía la sensibilidad necesaria pero, actualmente, están trabajando con un iPhone 4 puesto que, al añadir un giroscopio para eliminar el ruido del acelerómetro, la señal obtenida es mucho más precisa y, por tanto, es mucho mejor espía.
Realmente, creo que es complicado que alguien busque un método de este calibre para espiar lo que alguien escribe en un terminal móvil, sin embargo, es una interesante llamada de atención puesto que algo tan simple como un sensor de posición podría ofrecer mucha más información de la que imaginamos.
0 comentarios:
Publicar un comentario