TapLogger: troyano experimental capaz de determinar contraseñas basándose en los movimientos de dispositivos Android

Un equipo de investigadores de la Universidad Estatal de Pensilvania (PSU) e IBM ha desarrollado un troyano basado en Android que puede utilizar los sensores de movimiento del smartphone para romper las contraseñas.

Bautizado como TapLogger es una aplicación experimental que se basa en la premisa de que, al tocar en la pantalla táctil, se está interactuando con la misma, pero también estamos moviendo todo el dispositivo. Así que si presionamos un botón en la esquina superior derecha, el teléfono en realidad se moverá en esa dirección un poco, y ese movimiento sutil es leído por el acelerómetro y otros sensores integrados del el dispositivo.

Los datos del acelerómetro y de los sensores de orientación no están protegidos por el modelo de seguridad de Android, y esto significa que están expuestos a cualquier aplicación, independientemente de sus permisos en el sistema.

Tenéis mayor detalle en el documento que fue presentado durante la Conferencia de ACM sobre Seguridad y Privacidad en Redes Inalámbricas y Móviles:

http://www.cse.psu.edu/~szhu/papers/taplogger.pdf

Comentarios

  1. Hola Vicente,

    No he leido todavía el paper, aunque he visto mucho por Twitter y demás comentarios sobre este estudio. Lo más preocupante es la fiabilidad de los resultados, que no conozco todavía.

    De todas formas, desde distintos foros se viene destacando que el modelo de permisos de Android a día de hoy no es suficiente. De vez en cuando salen debilidades, como esta, como permisos por defecto, ambigüedad en ciertos permisos, abuso de permisos a priori no peligrosos, y ponen en entredicho este modelo. Tal vez en futuras versiones de Android veamos cambios significativos en este sentido.

    ResponderEliminar
  2. Estoy de acuerdo Florencio. Android tiene que mejorar más aún sabiendo que va a ser el gran objetivo del malware para dispositivos móviles, al menos durante los próximos tres años.

    ResponderEliminar

Publicar un comentario