El conjunto de sensores de dispositivos móviles en los teléfonos inteligentes y tabletas modernos los hace más parecidos a los laboratorios de bolsillo y los estudios de medios que los simples dispositivos de comunicación. Las cámaras, micrófonos, acelerómetros y giroscopios brindan una flexibilidad increíble a los desarrolladores de aplicaciones y una utilidad para los usuarios de dispositivos móviles. Pero la variedad de entradas también ofrece a los hackers inteligentes nuevos métodos para eludir la seguridad móvil convencional, o incluso recopilar información confidencial fuera del dispositivo.

Cualquier persona que se tome en serio la seguridad y la privacidad, tanto para ellos como para los usuarios finales, debe considerar cómo estos sensores crean vulnerabilidades únicas y pueden ser explotados por los ciberdelincuentes.

Los hackers de todos los colores del sombrero han estado explotando los sensores de dispositivos móviles durante años. En 2012, los investigadores desarrollaron un malware llamado PlaceRider , que utilizaba sensores de Android para desarrollar un mapa 3D del entorno físico de un usuario. En 2017, los investigadores usaron un algoritmo inteligente para desbloquear una variedad de teléfonos inteligentes Android con un éxito casi completo en tres intentos, incluso cuando los teléfonos tenían defensas de seguridad bastante robustas.

Pero a medida que se lanzaron actualizaciones con parches para las vulnerabilidades más graves, los piratas informáticos en 2019 respondieron encontrando formas aún más creativas de usar sensores para enganchar datos vulnerables.

«Escuchar» las contraseñas

Los investigadores pudieron aprender las contraseñas de las computadoras accediendo a los sensores en el micrófono de un dispositivo móvil . Los investigadores de la Universidad de Cambridge y la Universidad de Linkoping crearon un algoritmo de inteligencia artificial (IA) que analizaba los sonidos de mecanografía. De 45 personas evaluadas, sus contraseñas se descifraron siete veces de 27. La técnica fue aún más efectiva en tabletas, que fueron correctas 19 de 27, en 10 intentos.

«Mostramos que el ataque puede recuperar con éxito códigos PIN, letras individuales y palabras completas», escribieron los investigadores. Considere la facilidad con la que la mayoría de los usuarios móviles otorgan permiso para que una aplicación acceda al micrófono de su dispositivo, sin considerar la posibilidad de que el sonido de sus golpes en la pantalla se pueda usar para descifrar contraseñas u otras frases.

Si bien este tipo de ataque nunca ha ocurrido en la naturaleza, es un recordatorio para que los usuarios sean más cautelosos al permitir que las aplicaciones accedan al micrófono de su dispositivo móvil, especialmente si no hay una necesidad clara de la funcionalidad de la aplicación.

Escuchar sin un micrófono

Otros analistas han descubierto que los piratas informáticos no necesitan acceso al micrófono de un dispositivo para aprovechar el audio. Los investigadores que trabajan en la Universidad de Alabama en Birmingham y la Universidad de Rutgers escucharon a escondidas el audio reproducido a través del altavoz de un dispositivo Android con solo el acelerómetro, el sensor utilizado para detectar la orientación del dispositivo. Descubrieron que un audio lo suficientemente alto puede afectar el acelerómetro , filtrando información sensible sobre los patrones del habla.

Los investigadores denominaron esta capacidad como «escuchas telefónicas de espionaje», afirmando que los actores de amenazas podrían determinar el género, la identidad o incluso algunas de las palabras pronunciadas por el propietario del dispositivo utilizando métodos de reconocimiento o reconstrucción del habla. Debido a que los acelerómetros siempre están encendidos y no requieren permisos para operar, las aplicaciones maliciosas pueden grabar datos del acelerómetro y reproducir audio a través del software de reconocimiento de voz.

Si bien un vector de ataque interesante que sería difícil de proteger (restringir el acceso o el uso de las funciones del acelerómetro limitaría severamente la usabilidad de los dispositivos inteligentes), esta vulnerabilidad requeriría que los ciberdelincuentes desarrollen una aplicación maliciosa y persuadan a los usuarios a descargarla. Una vez en el dispositivo de un usuario, tendría mucho más sentido descartar otras formas de malware o solicitar acceso a un micrófono para extraer datos fáciles de leer / escuchar.

Dado que los usuarios modernos tienden a prestar poca atención a los avisos de permisos o EULA, la ventaja del acceso sin permiso al acelerómetro aún no proporciona suficiente retorno de la inversión para los delincuentes. Sin embargo, una vez más vemos cómo se puede abusar del acceso a los sensores de dispositivos móviles para una funcionalidad para otros fines.

Dispositivos de huellas digitales con sensores

En mayo, investigadores del Reino Unido anunciaron que habían desarrollado una técnica de huellas digitales que puede rastrear dispositivos móviles a través de Internet mediante el uso de detalles de calibración del sensor configurados de fábrica fácilmente. El ataque, llamado SensorID , funciona mediante el uso de detalles de calibración de los sensores del acelerador, giroscopio y magnetómetro que pueden rastrear los hábitos de navegación web de un usuario. Estos datos de calibración también se pueden usar para rastrear a los usuarios a medida que cambian entre navegadores y aplicaciones de terceros, lo que hipotéticamente permite que alguien obtenga una vista completa de lo que los usuarios están haciendo en sus dispositivos.

Apple parchó la vulnerabilidad en iOS 12.2, mientras que Google aún no ha parcheado el problema en Android.

Evitar la detección con el acelerómetro

A principios de este año, Trend Micro descubrió dos aplicaciones maliciosas en Google Play que eliminan malware bancario de gran alcance . Las aplicaciones parecían ser herramientas básicas llamadas Currency Converter y BatterySaverMobi. Estas aplicaciones utilizaron inteligentemente sensores de movimiento para evitar ser vistos como malware.

Es probable que un dispositivo que no genera información del sensor de movimiento sea un emulador o entorno de espacio aislado utilizado por los investigadores para detectar malware. Sin embargo, un dispositivo que genera datos del sensor de movimiento le dice a los actores de la amenaza que es un dispositivo verdadero, propiedad del usuario. Por lo tanto, el código malicioso solo se ejecuta cuando el dispositivo está en movimiento, lo que ayuda a escabullirse de los investigadores que podrían intentar detectar el malware en entornos virtuales.

Si bien las aplicaciones se eliminaron de Google Play, esta técnica evasiva podría incorporarse fácilmente a otras aplicaciones maliciosas en plataformas de terceros.

Los desafíos de seguridad móvil del futuro

Los sensores de dispositivos móviles son especialmente vulnerables al abuso porque no se requieren permisos especiales o escalamientos para acceder a estos sensores.

La mayoría de los usuarios finales son capaces de usar contraseñas seguras y proteger su dispositivo con software antimalware . Sin embargo, probablemente no lo piensen dos veces acerca de cómo se usa el giroscopio de su dispositivo.

La buena noticia es que los desarrolladores de sistemas operativos móviles están trabajando para agregar protecciones de seguridad a los sensores. Android Pie reforzó la seguridad al limitar el sensor y los datos de entrada del usuario. Las aplicaciones que se ejecutan en segundo plano en un dispositivo con Android Pie no pueden acceder al micrófono o la cámara. Además, los sensores que usan el modo de informe continuo, como acelerómetros y giroscopios, no reciben eventos.

Eso significa que los desafíos de seguridad móvil del futuro no se resolverán con técnicas criptográficas tradicionales. Mientras los piratas informáticos puedan acceder a los sensores que detectan y miden el espacio físico, continuarán explotando esos datos de fácil acceso para proteger la información confidencial que desean.

A medida que los dispositivos móviles expanden su caja de herramientas de sensores, eso creará nuevas vulnerabilidades y desafíos aún por descubrir para los profesionales de la seguridad.