Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/07/2016
És possible robar la clau del caixer a partir d'un rellotge intel·ligent o altres wearables
Els rellotges i les polseres intel·ligents, així com altres portables que amb els seus sensors detecten el moviment de les mans, poden ser usats per a “gravar” les seues trajectòries.
I si fa uns dies començava a preocupar que fins els enregistradors de teclat han arribat als mòbils per a enregistrar tot el que teclegem, incloent-hi la nostra informació personal per a traure-li benefici, heus ací un altra dada per a inquietar-se: els rellotges i les polseres intel·ligents, així com altres portables que amb els seus sensors detecten el moviment de les mans, poden ser usats per a “gravar” les seues trajectòries i intentar inferir pulsacions sobre un teclat numèric, per exemple, les realitzades en un caixer automàtic per a retirar diners o en ingressar altres contrasenyes.
Amb proves tècniques realitzades amb tres diferents portables i sobre tres distribucions de teclat numèric de caixers convencionals, això és argumentat en un article conjunt d'investigadores de la Binghamton University i el Stevens Institute of Technology. Titulat Friend or Foe?: Your Wearable Devices Reveal Your Personal PIN i mostra importants resultats como que, amb els seus algoritmes aplicats sobre les dades de les trajectòries, s'ha aconseguir inferir correctament el PIN dels caixers en prova 80 de cada 100 vegades. Això en el primer intent ja que la certesa puja fins al 90% quan es permet verificar fins a un tercer intent.
Això sí, no és tan senzill disposar d'aquests registres per la pròpia seguretat dels dispositius, per això els investigadors assenyalen que l'atac, sofisticat per la seua tècnica, s'efectuaria en dos escenaris: infectant el portable amb un programari maliciós que s'active en determinat moment i envie els registres a l'atacant, o amb algun dispositiu físic pròxim al caixer que, per exemple, via Bluetooth, aconseguisca “escoltar” els registres.
Per part dels desenvolupadors i fabricants, restarà indagar més sobre el tema per a protegir encara més la transmissió entre el portable i el dispositiu propi que registra les dades, o potser “injectar algun tipus de soroll” per a afectar els registres de les trajectòries en intentar ser inferits per un tercer. Per part dels usuaris, el més pràctic serà prescindir de teclejar claus amb la mà en què es porta el portable.