C'è la prova che gli hacker potrebbero "ascoltare" le password inserite sul telefono
Esistono diversi modi per compromettere una password. Se un fornitore di servizi non lo memorizza correttamente, gli hacker possono rubarlo. Possono anche indurre gli utenti a divulgare i loro dati di accesso e poiché le abitudini di creazione della password delle persone sono così orribilmente prevedibili , i truffatori possono spesso indovinare le credenziali che dovrebbero proteggere alcuni dati piuttosto sensibili. I ricercatori universitari hanno ora trovato un altro modo più insolito di rubare una password: tramite le onde sonore.
Il team di esperti è composto da Ilia Shumailov, Laurent Simon e Ross Anderson del Università di Cambridge in Inghilterra e Jeff Yan del Università di Linköping in Svezia. Hanno ideato e realizzato quello che chiamano un attacco "canale laterale acustico" che utilizza i microfoni di uno smartphone o di un tablet per "sentire" ciò che la vittima sta entrando sul touchscreen del dispositivo.
Table of Contents
Come funziona attacco acustico del canale laterale?
Molti di voi potrebbero già essere un po scettici sul intera idea. Dopotutto, uno degli aspetti positivi della digitazione su dispositivi touchscreen è che farlo non emette alcun rumore. Mentre il suono delle dita che toccano su uno schermo di vetro potrebbe essere impercettibile al orecchio umano, tuttavia, questo non è strettamente il caso dei microfoni dei moderni smartphone.
esperimento era mirato ai dispositivi Android, che spesso vibrano quando gli utenti toccano i tasti su tastiere virtuali e PIN pad. Inizialmente, i ricercatori volevano utilizzarlo a proprio vantaggio, ma presto hanno capito che molte applicazioni bancarie disabilitano deliberatamente questa funzionalità. Ecco perché hanno deciso di percorrere una strada diversa.
I telefoni cellulari hanno almeno due microfoni: uno nella parte superiore del dispositivo e uno nella parte inferiore. A seconda della regione dello schermo su cui si tocca, il suono raggiungerà uno dei microfoni un po prima del altro. I ricercatori hanno pensato che, tenendo conto di questa differenza, avrebbero potuto avere u ipotesi plausibile su dove utente sta toccando. A quanto pare, avevano ragione.
I risultati furono tanto sorprendenti quanto preoccupanti
Utilizzando la tecnologia di apprendimento automatico, gli esperti hanno sviluppato u applicazione speciale e la hanno consegnata a 45 partecipanti a cui è stato chiesto di inserire alcuni codici PIN e password. Per rendere lo scenario il più realistico possibile, gli esperimenti sono stati condotti in diversi luoghi con diversi livelli di rumore di fondo.
Dopo aver registrato le onde sonore prodotte dalle dita dei partecipanti, gli esperti hanno utilizzato il loro software per capire quali potrebbero essere le password e i codici PIN. Un sorprendente 73% dei codici PIN a quattro cifre è stato violato con 10 tentativi o meno. Co era prevedibile, il tasso di successo con le password era inferiore, ma non era ancora insignificante.
Circa il 30% delle password sono state esposte con meno di 20 ipotesi. Tieni presente che stiamo parlando di password lunghe tra 7 e 13 caratteri e composte da lettere e numeri. Rompere quelli in uno scenario di forza bruta tradizionale sarebbe stato molto più difficile.
Sembra tutto molto cupo, ma prima di farti prendere dal panico, dovresti tenere presente che almeno per il momento, attacco acustico del canale laterale sviluppato dai ricercatori è improbabile che ti metta in pericolo immediato.
Quando i criminali informatici inizieranno a utilizzare i microfoni del dispositivo per indovinare la password?
Come abbiamo già detto, attacco è stato ideato da ricercatori accademici che hanno utilizzato una tecnologia al avanguardia per ottenere quello che è senza dubbio un risultato davvero impressionante. Il documento che hanno pubblicato spiega in dettaglio come funziona, ma se gli hacker useranno questo metodo, dovranno sviluppare il proprio software che ascolta e decifra i tocchi sullo schermo del telefono. Questo non sarà facile.
In altre parole, i primi gruppi di hacker che useranno questo attacco nel mondo reale saranno estremamente sofisticati, probabilmente sponsorizzati dallo stato e molto probabilmente perseguiranno obiettivi di alto profilo. Per sradicare attacco, dovranno anche convincere le vittime a installare u app dannosa e concederle le autorizzazioni per accedere al microfono del dispositivo.
Anche se raggiungono questo obiettivo, devono tenere presente che, come hanno scoperto i ricercatori, il rumore di fondo può rendere il compito di indovinare le password molto più difficile. Quando il bersaglio mette le mani sul microfono, che, secondo il documento di ricerca, accade spesso, diventa praticamente impossibile.
Quindi, per ora, attacco acustico del canale laterale è più una teoria che una minaccia del mondo reale. Tuttavia, come hanno sottolineato gli esperti nel documento, i fornitori di software e hardware dovrebbero probabilmente prendere in considerazione implementazione di un indicatore visivo che mostri se il microfono è in uso o meno. Quando si tratta di utenti, il consiglio non è davvero cambiato. Devono stare attenti alle applicazioni che installano e alle autorizzazioni che concedono.
