Pesquisadores universitários criaram um método para roubar o PIN de usuários de smartphones utilizando dados dos sensores gerados pelo telefone alvo. Os pesquisadores disseram que o método tem uma taxa de sucesso de 74% quando se trata de determinar com precisão os dados do PIN de 4 algarismos digitado pelo proprietário do telefone.
Pesquisadores da Universidade de Newcastle, no Reino Unido, criaram um app JavaScript chamado PINlogger.js que tem a capacidade de acessar dados gerados pelos sensores do telefone, incluindo GPS, câmera, microfone, acelerômetro, magnetômetro, proximidade, giroscópio, pedômetro e protocolos NFC.
“Apesar da ameaça, a pesquisa mostra que as pessoas desconhecem os riscos e a maioria de nós tem pouca ideia do que fazem a maioria dos 25 sensores diferentes disponíveis nos smartphones atuais”, escreveu Maryam Mehrnezhad, pesquisadora da Escola de Ciência da Computação da Universidade de Newcastle e principal autora do relatório.
Em um provável cenário de ataque, um usuário seria enganado ou tentado visitar uma página maliciosa por meio do navegador do smartphone. O site para dispositivos móveis executaria o JavaScript PINlogger.js e procederia com a captura dos dados do sensor do smartphone através do navegador. De acordo com o relatório, muitos sensores em dispositivos móveis não exigem a permissão do usuário para um site ou um aplicativo do navegador web para coletar dados dos sensores.
“Nós assumimos que o usuário carregou o conteúdo web malicioso na forma de um iframe, ou outra guia/aba enquanto utilizava o browser do smartphone”, escreveram os pesquisadores. “Neste momento, o código de ataque já começou a escutar as sequências do sensor da interação do usuário com o telefone.”
Os ataques baseados em JavaScript no navegador podem representar uma ameaça de segurança para os usuários. Ao contrário dos ataques no aplicativo, eles não exigem qualquer instalação de aplicativo ou permissão do usuário para trabalhar, disseram os pesquisadores em seu relatório, divulgado na semana passada. Usando uma amostragem de 50 PINs, os pesquisadores descobriram que o script foi capaz de identificar corretamente o PIN do usuário em 74% na primeira tentativa, aumentando para 86% e 94% as taxas de sucesso na segunda e terceira tentativa, respectivamente.
“Dependendo da maneira que você digita – se você segura o telefone em uma mão e usa o polegar, ou talvez segura com uma mão e digita com a outra, se você tocar ou deslizar, o dispositivo será inclinado de uma certa maneira e é muito fácil começar a reconhecer os padrões de inclinação associados com ‘Touch Signatures’ que usamos regularmente”, escreveu Siamak Shahandashti, um pesquisador sênior associado da Escola de Ciência da Computação e co-autor do estudo.
Os pesquisadores apontam que a maioria dos usuários estão preocupados com sensores óbvios, como câmera ou GPS, e não consideram outros sensores menos óbvios como uma ameaça.
“Em alguns navegadores, descobrimos que, se você abrir uma página que hospeda um desses códigos mal-intencionados em seu smartphone ou tablet e, em seguida, abrir, por exemplo, sua conta bancária online sem fechar a guia anterior, eles poderão espionar todos os detalhes pessoais que você informar”, disse Mehrnezhad.
Isso também se aplica a telefones em uma posição bloqueada, permitindo que um aplicativo ou site malicioso capturem a senha do PIN para obter acesso a um telefone.
Os pesquisadores disseram que contactaram os fornecedores dos browsers, alertando-os para o possível cenário de ataque.
“Como resultado da pesquisa, alguns dos fornecedores de browsers móveis, como Mozilla, Firefox e Apple Safari, corrigiram parcialmente o problema”, observaram os pesquisadores.
Quanto ao Firefox, a partir da versão 46 (lançada em abril de 2016), o navegador restringe o acesso JavaScript aos sensores de movimento e orientação. As atualizações de segurança da Apple para iOS 9.3 (lançado em março de 2016), suspenderam a disponibilidade de dados de movimento e orientação quando a visualização da web está oculta, de acordo com pesquisadores.
Quanto ao Google, não está claro quais medidas foram tomadas. “Nossa preocupação é confirmada por membros da equipe do Google Chromium, que também acreditam que a questão permanece sem solução”, afirmou o relatório. O Google não respondeu a um pedido de comentários para este relatório.
Os pesquisadores sugerem que os usuários alterem seus PINs e senhas regularmente. Eles também recomendam fechar aplicativos e navegadores em segundo plano quando você não os estiver usando.
“Mantenha o sistema operacional e os aplicativos do smartphone sempre atualizados. Instale somente aplicativos das lojas de apps aprovados. Audite as permissões que os apps possuem em seu smartphone”, recomenda o relatório.
Publicado originalmente no ThreatPost em 12 de abril de 2017.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Tom Spring
Tradução por Tiago Souza
Imagem destacada deste post: Lukas (banco de imagens StockSnap)