Há uma prova de que os hackers podem "ouvir" as senhas digitadas no seu telefone
Existem várias maneiras de comprometer uma senha. Se um provedor de serviços não o armazenar corretamente, os hackers podem roubá-lo. Eles também podem enganar os usuários para que forneçam seus dados de login, e como os hábitos de criação de senhas das pessoas são tão horrivelmente previsíveis , os criminosos podem adivinhar as credenciais que deveriam proteger alguns dados bastante confidenciais. Pesquisadores universitários descobriram agora outra forma mais incomum de roubar uma senha - através de ondas sonoras.
A equipe de especialistas é formada por Ilia Shumailov, Laurent Simon e Ross Anderson, da Universidade de Cambridge, na Inglaterra, e Jeff Yan, da Universidade de Linköping, na Suécia. Eles criaram e conseguiram o que chamam de ataque "canal acústico lateral", que usa os microfones de um smartphone ou tablet para "ouvir" o que a vítima está digitando na tela sensível ao toque do dispositivo.
Índice
Como funciona o ataque do canal lateral acústico?
Muitos de vocês já devem estar um pouco céticos sobre a ideia toda. Afinal, uma das coisas boas sobre a digitação em dispositivos touchscreen é que isso não emite nenhum ruído. Enquanto o som dos dedos tocando em uma tela de vidro pode ser inaudível para o ouvido humano, no entanto, isso não é estritamente o caso quando se trata de microfones de smartphones modernos.
O experimento foi direcionado a dispositivos Android, que geralmente vibram quando os usuários tocam nas teclas de teclados virtuais e PINs. Inicialmente, os pesquisadores queriam usar isso a seu favor, mas logo descobriram que muitos aplicativos bancários desabilitavam deliberadamente essa funcionalidade. É por isso que eles decidiram seguir um caminho diferente.
Os telefones celulares têm pelo menos dois microfones - um próximo à parte superior do dispositivo e um próximo ao fundo. Dependendo da região da tela em que você toca, o som alcançará um dos microfones um pouco antes do outro. Os pesquisadores pensaram que, ao levar em conta essa diferença, eles poderiam ter um palpite sobre onde o usuário está tocando. Acontece que eles estavam certos.
Os resultados foram tão surpreendentes quanto preocupantes
Usando a tecnologia de aprendizado de máquina, os especialistas desenvolveram um aplicativo especial e o deram a 45 participantes que receberam instruções para digitar alguns códigos PIN e senhas. Para tornar o cenário o mais realista possível, os experimentos foram conduzidos em vários locais com diferentes níveis de ruído de fundo.
Depois de gravar as ondas de som feitas pelos dedos dos participantes, os especialistas usaram seu software para descobrir quais seriam as senhas e os códigos PIN. Um escalonamento de 73% dos códigos PIN de quatro dígitos foi quebrado com 10 tentativas ou menos. Previsivelmente, a taxa de sucesso com senhas foi menor, mas ainda não foi insignificante.
Cerca de 30% das senhas foram expostas com menos de 20 palpites. Tenha em mente que estamos falando de senhas entre 7 e 13 caracteres e que consistem em letras e números. Quebrar aqueles em um cenário tradicional de força bruta teria sido muito mais difícil.
Tudo parece muito sombrio, mas antes de entrar em pânico, você deve ter em mente que, pelo menos por enquanto, o ataque de canal lateral acústico que os pesquisadores desenvolveram não é susceptível de colocá-lo em perigo imediato.
Quando os cibercriminosos começarão a usar os microfones do seu dispositivo para adivinhar sua senha?
Como já mencionamos, o ataque foi planejado por pesquisadores acadêmicos que usaram tecnologia de ponta para alcançar o que é, sem dúvida, um resultado muito impressionante. O artigo publicado explica mais detalhadamente como tudo funciona, mas se os hackers usarem esse método, precisarão desenvolver seu próprio software, que ouça e decifre os toques na tela do seu telefone. Isso não será fácil.
Em outras palavras, os primeiros grupos de hackers que usarão esse ataque no mundo real serão extremamente sofisticados, provavelmente patrocinados pelo estado, e provavelmente estarão atrás de alvos de alto perfil. Para retirar o ataque, eles também precisarão persuadir as vítimas a instalar um aplicativo mal-intencionado e conceder permissões para acessar o microfone do dispositivo.
Mesmo que consigam isso, precisam ter em mente que, como descobriram os pesquisadores, o ruído de fundo pode tornar a tarefa de adivinhar senhas muito mais difícil. Quando o alvo coloca as mãos sobre o microfone, o que, de acordo com o trabalho de pesquisa, acontece com frequência, torna-se praticamente impossível.
Então, por enquanto, o ataque de canal lateral acústico é mais uma teoria do que uma ameaça do mundo real. No entanto, como os especialistas apontaram no artigo, os fornecedores de software e hardware provavelmente deveriam considerar a implementação de um indicador visual que mostre se o microfone está ou não em uso. Quando se trata de usuários, o conselho não mudou realmente. Eles precisam ter cuidado com os aplicativos que eles instalam e as permissões que eles concedem.
