Los instrumentos en los teléfonos inteligentes como el acelerómetro, el giroscopio y los sensores de proximidad representan una vulnerabilidad de seguridad potencial, según investigadores de la Universidad Tecnológica de Nanyang, Singapur NTU Singapur, cuya investigación fue publicada en acceso abierto Archivo de criptología ePrint el 6 de diciembre
Utilizando una combinación de información recopilada de seis sensores diferentes encontrados en teléfonos inteligentes y algoritmos de aprendizaje automático y aprendizaje avanzado de última generación, los investigadores lograron desbloquear teléfonos inteligentes Android con una precisión del 99.5% en solo tres intentos,al abordar un teléfono que tenía uno de los 50 números PIN más comunes.
La mejor tasa de éxito de descifrado de teléfonos anterior era del 74% para los 50 números PIN más comunes, pero la técnica de NTU se puede utilizar para adivinar las 10,000 combinaciones posibles de PIN de cuatro dígitos.
Dirigidos por el Dr. Shivam Bhasin, Científico Investigador Principal de NTU en los Laboratorios Temasek @ NTU, los investigadores usaron sensores en un teléfono inteligente para modelar qué número habían sido presionados por sus usuarios, en función de cómo se inclinaba el teléfono y cuánta luz estaba bloqueadapor el pulgar o los dedos.
Los investigadores creen que su trabajo resalta una falla significativa en la seguridad de los teléfonos inteligentes, ya que el uso de los sensores dentro de los teléfonos no requiere permisos por parte del usuario del teléfono y está abiertamente disponible para que todas las aplicaciones accedan.
Cómo se realizaron los experimentos
El equipo de investigadores tomó teléfonos Android e instaló una aplicación personalizada que recopiló datos de seis sensores: acelerómetro, giroscopio, magnetómetro, sensor de proximidad, barómetro y sensor de luz ambiental.
"Cuando sostiene su teléfono y teclea el PIN, la forma en que se mueve el teléfono cuando presiona 1, 5 o 9 es muy diferente. Del mismo modo, presionar 1 con el pulgar derecho bloqueará más luz que si presiona 9", explica el Dr. Bhasin, quien pasó 10 meses con sus colegas, el Sr. David Berend y el Dr. Bernhard Jungk, en el proyecto.
El algoritmo de clasificación fue entrenado con datos recopilados de tres personas, quienes ingresaron un conjunto aleatorio de 70 números de pin de cuatro dígitos en un teléfono. Al mismo tiempo, registraron las reacciones relevantes del sensor.
Conocido como aprendizaje profundo, el algoritmo de clasificación fue capaz de otorgar diferentes ponderaciones de importancia a cada uno de los sensores, dependiendo de cuán sensible fuera cada uno a los diferentes números presionados. Esto ayuda a eliminar factores que considera menos importantes y aumenta eltasa de éxito para la recuperación del PIN.
Aunque cada individuo ingresa el PIN de seguridad en su teléfono de manera diferente, los científicos demostraron que a medida que los datos de más personas se envían al algoritmo con el tiempo, las tasas de éxito mejoraron.
Entonces, si bien una aplicación malintencionada puede no ser capaz de adivinar correctamente un PIN inmediatamente después de la instalación, mediante el aprendizaje automático, podría recopilar datos de miles de usuarios a lo largo del tiempo de cada uno de sus teléfonos para conocer su patrón de entrada de PIN y luego lanzar un ataquemás tarde cuando la tasa de éxito es mucho más alta.
El profesor Gan Chee Lip, Director de los Laboratorios Temasek @ NTU, dijo que este estudio muestra cómo los dispositivos con seguridad aparentemente fuerte pueden ser atacados usando un canal lateral, ya que las aplicaciones maliciosas pueden desviar los datos del sensor para espiar el comportamiento del usuario y ayudarpara acceder a la información de PIN y contraseña, y más.
"Junto con la posibilidad de filtrar contraseñas, nos preocupa que el acceso a la información del sensor del teléfono pueda revelar demasiado sobre el comportamiento de un usuario. Esto tiene importantes implicaciones de privacidad a las que tanto las personas como las empresas deberían prestar atención urgente", dijo el profesor GanEl Dr. Bhasin dijo que sería aconsejable que los sistemas operativos móviles restrinjan el acceso a estos seis sensores en el futuro, para que los usuarios puedan elegir activamente otorgar permisos solo a las aplicaciones confiables que los necesiten.
Para mantener seguros los dispositivos móviles, el Dr. Bhasin recomienda a los usuarios que tengan PIN con más de cuatro dígitos, junto con otros métodos de autenticación como contraseñas de un solo uso, autenticaciones de dos factores y reconocimiento de huellas dactilares o facial.
Fuente de la historia :
Materiales proporcionado por Universidad Tecnológica de Nanyang . Nota: El contenido puede ser editado por estilo y longitud.
Referencia del diario :
Cite esta página :