¿Recuerdas al chico que trató de hacer trampa
viendo sobre tu hombro para copiar las respuestas de la prueba? Está de vuelta.
Pero esta vez él está usando Google Glass, y está detrás de tu PIN del
iPad.
Si estás viendo esta nota en tu móvil, mira aquí la
galería.
Los expertos forenses cibernéticos de la Universidad de Massachusetts en
Lowell han desarrollado una manera de robar las contraseñas introducidas en un
teléfono inteligente o una tableta usando video del dispositivo colocado sobre
el rostro de Google y otros dispositivos de captura de vídeo. El ladrón puede
estar a casi tres metros de distancia y ni siquiera necesita leer la pantalla,
lo que significa que lanzar una mirada no es un antídoto.
Los investigadores de seguridad crearon el software que mapea las sombras
de las yemas de los dedos que pulsan en una tableta o un teléfono inteligente.
Su algoritmo luego convierte esos puntos de contacto en las teclas reales que
estaban tocando, lo que permite a los investigadores descifrar el código de
acceso.
Probaron el algoritmo de contraseñas introducidas en un iPad de Apple,
en una tableta Nexus 7 de Google y un iPhone 5.
¿Por qué deberías estar preocupado?
"Podríamos obtener la contraseña de tu cuenta bancaria", dijo
el investigador Xinwen Fu.
El software se puede aplicar al video tomado en una variedad de
dispositivos: Fu y su equipo experimentaron con Google Glass, vídeo de un
teléfono celular, una cámara web y una cámara de vídeo. El software funcionó en
vídeo de una videocámara tomada a una distancia de más de 140 pies (43 metros).
Por supuesto, una cámara de vídeo que apunta a la cara de un desconocido
podría producir cierta suspicacia. El auge de la tecnología portátil es lo que
hace que este enfoque realmente sea viable. Por ejemplo, un smartwatch podría
sigilosamente grabar lo que se escribe en el teléfono objetivo en una
cafetería, sin llamar mucho la atención.
Fu dice que Google Glass es algo que cambia las reglas del juego para
este tipo de vulnerabilidad.
"Lo más importante aquí es el ángulo. Para hacer este ataque con
éxito, el atacante debe ser capaz de ajustar el ángulo para tomar un mejor
vídeo... si ven tu dedo, te roban la contraseña", dijo Fu.
CNNMoney puso a prueba su software. Montamos una tienda en nuestra
cafetería corporativa en la que el investigador de seguridad que tenía puesto
el Google Glass estaba a 8.5 pies (2.60 metros) de distancia de nuestro iPad.
Fu y sus colegas dijeron que podían identificar la contraseña con un
100% de certeza si grababan el proceso de inicio de sesión tres veces. También
probaron con Google Glass en un robot, en caso que el movimiento de la cabeza
del investigador demostrara ser un problema.
En menos de diez minutos pudieron identificar con precisión nuestra
contraseña, 5-1-2-0. (Por lo general toma menos tiempo, pero la corresponsal de
CNNMoney Tech, Laurie Segall, tiene uñas cortas, lo que creó menos sombra para
que el software lo analizara. Aún así lo hicieron bien).
La mayor vulnerabilidad que el equipo de Fu identificó es que las claves
siempre están en el mismo lugar en el teclado. Existen herramientas que pueden
aleatorizar la ubicación de las teclas en el teclado de modo que un
"9" podría estar donde normalmente se encuentra el "1",
pero no son comunes. El objetivo de un trabajo como este es hacer que este tipo
de protecciones sean predominantes.
La investigación será presentada el próximo mes en la conferencia de seguridad
cibernética Black Hat.
No hay comentarios:
Publicar un comentario