jueves, 13 de abril de 2017

Robo de PIN a través de tu Smartphone (por APP y web)

Los hackers pueden robar sus contraseñas mediante el control de sensores de su SmartPhone

Un equipo de científicos de la Universidad de Newcastle en el Reino Unido han demostrado que los hackers pueden potencialmente adivinar números PIN y contraseñas a través de los smartphones.

El peligro es debido a la forma en que algunos sitios web maliciosos y aplicaciones pueden acceder a la mayoría de los sensores internos de un teléfono inteligente sin solicitar permiso para acceder a ellos - no importa si estás accediendo a una página web segura a través de HTTPS para introducir la contraseña - pudiendo descubrir una amplia gama de información sensible acerca del usuario, como actividades físicas e incluso sus acciones táctiles, PINs y contraseñas".

"La mayoría de los teléfonos inteligentes, tabletas y otros wearables están equipadas con una multitud de sensores, de los GPS conocidos, cámara, y el micrófono para instrumentos como el giroscopio, la proximidad, NFC, y sensores de rotación y el acelerómetro,", afirmación del Dr. Maryam Mehrnezhad, investigador principal del estudio.

Vídeo de demostración del Ataque

El equipo de investigación escribió un archivo Javascript malicioso con la capacidad de acceder a estos sensores y registrar sus datos de uso. Este script malicioso puede ser incrustado en una aplicación móvil o se carga en un sitio web sin su conocimiento.

Solo basta que un atacante engañe a las víctimas, ya sea en la instalación de la aplicación gratuita y maliciosa, visitando un sitio web infectado con código dañino, a través de un servidor proxy e incluso permitiendole navegar por una red Wi-Fi abierta en la que inyecte este código malicioso a las páginas que visiten la víctimas.

Una vez hecho esto la aplicación maliciosa o sitio web que se ejecutan en su teléfono continuarán teniendo acceso a los datos de varios sensores y registrar la información necesaria para adivinar el PIN o contraseñas y luego enviarlo a un servidor del atacante.

Se pueden encontrar más detalles técnicos en el trabajo de investigación titulado "Robo de PIN a través de sensores móviles: el riesgo real en comparación con la percepción del usuario", publicado el martes en el Diario Internacional de Seguridad de la Información.

Fuentes: The Hacker News y DiarioTI

No hay comentarios:

Publicar un comentario