Tu digiti, decifratori hacker, la tua password è condannata. Questo è il triste scenario discusso in un documento che è ora su arXiv. "Ascoltare il tuo tocco:un nuovo canale acustico laterale su smartphone, " è degli autori Ilia Shumailov, Lorenzo Simone, Jeff Yan e Ross Anderson.

Cosa succede nel processo di furto in questo modo? Breve e semplice, le onde sonore emanate dalla digitazione su un telefono vengono decodificate. Hanno valutato l'efficacia dell'attacco con 45 partecipanti su un tablet Android e uno smartphone Android.

Buster Hein in Culto di Mac detto con le onde sonore che viaggiano attraverso lo schermo e l'aria al microfono del telefono, l'algoritmo prevede da dove provengono determinate vibrazioni.

I ricercatori hanno detto, "registrando l'audio attraverso i microfoni incorporati, un'app dannosa può dedurre del testo" quando l'utente lo inserisce sul proprio dispositivo. Il team ha recuperato con successo 27 password su 45 su un telefono, e 19 password su 27 su tablet, tramite vibrazioni di digitazione.

Hanno progettato un algoritmo di apprendimento automatico in grado di decodificare le vibrazioni per le sequenze di tasti. Il Washington Post :"Tra un gruppo di test di 45 persone in diversi test, i ricercatori potrebbero replicare correttamente le password sugli smartphone sette volte su 27, entro 10 tentativi. Su tablet, i ricercatori hanno ottenuto risultati migliori, inchiodare la password 19 volte su 27 entro 10 tentativi."

Veramente, un hacker può rubare la tua password semplicemente ascoltandoti mentre digiti? Ian Randall in Mail giornaliera aveva più informazioni su questo "algoritmo di apprendimento automatico". Ha detto che è stato costruito per cercare di abbinare ogni vibrazione a un punto particolare sullo schermo del dispositivo in cui gli utenti avevano toccato la tastiera su schermo durante la digitazione o l'immissione di una password.

Gli stessi autori hanno spiegato cosa stava succedendo:"Quando un utente tocca lo schermo con un dito, il rubinetto genera un'onda sonora che si propaga sulla superficie dello schermo e nell'aria. Abbiamo scoperto che i microfoni del dispositivo possono recuperare questa onda e "sentire" il tocco del dito, e le distorsioni dell'onda sono caratteristiche della posizione del tocco sullo schermo."

Il risultato:registrando l'audio attraverso il microfono integrato, un'app dannosa può dedurre del testo non appena l'utente lo inserisce sul proprio dispositivo.

Per il loro esperimento, hanno usato telefoni e tablet. C'erano 45 partecipanti in un ambiente reale. E, quando dicono mondo reale, significano davvero nel mondo reale:

"Abbiamo condotto gli esperimenti al di fuori dell'ambiente di laboratorio per simulare più da vicino le condizioni di vita reale, migliorando così la validità dello studio."

I partecipanti si sono esibiti in tre luoghi diversi:1) in una sala comune, dove le persone chiacchierano e ogni tanto una macchinetta del caffè fa qualcosa da bere con suoni forti; 2) in una sala di lettura dove le persone digitano o parlano a voce semi-alta; e 3) nella libreria dove ci sono molti clic dai laptop. Tutti e tre i posti avevano rumore ambientale proveniente dalle finestre lasciate aperte.

Cosa consigliavano gli autori come salvaguardie e soluzioni?

Gli autori hanno detto, "I dispositivi mobili potrebbero richiedere un modello di capacità più ricco, un sistema di notifica più intuitivo per l'utilizzo del sensore e una valutazione più approfondita delle informazioni trapelate dall'hardware sottostante."

Altrove nella discussione, hanno esplorato varie opzioni, e uno di questi era quello di offrire "una struttura di immissione del PIN adeguatamente progettata, che quando chiamato da un'applicazione sarebbe temporaneamente vuoto, e/o introdurre rumore in, il canale del microfono visto da altre app. Questo approccio dovrebbe logicamente essere esteso ad altri sensori che possono essere utilizzati per raccogliere i PIN tramite canali laterali come l'accelerometro, giroscopio e fotocamera."

Hanno anche menzionato l'introduzione del jitter del sistema operativo, o suoni di tocco esca, nel flusso di dati del microfono. Ciò ostacolerebbe un utente malintenzionato che mira a identificare le posizioni dei rubinetti.

"Dato che i rubinetti stessi sono abbastanza impercettibili per gli umani, questo non dovrebbe disturbare le applicazioni che vengono eseguite in background e raccolgono l'audio con il consenso dell'utente."

A livello di applicazione, loro hanno detto, "un'app potrebbe essa stessa introdurre suoni di tocco falsi nel dispositivo, per disturbare e confondere qualsiasi app ostile che si trova in ascolto." Jamming tattico, loro hanno detto, era una contromisura a basso costo.

© 2019 Science X Network