Tag Archive: Smartphones


El giroscopio es el componente que permite saber en todo momento en qué posición está tu teléfono. Es de lo más útil para -por ejemplo- juegos en los que interviene la realidad aumentada (véase Pokémon GO), pero ahora se ha descubierto que también se trata de una pieza que puede revelar el código de desbloqueo de nuestra pantalla.

Fíjate en la forma en que sujetas el móvil cuando introduces el PIN de desbloqueo: seguro que tú también inclinas ligeramente la pantalla hacia uno u otro lado para llegar hasta cada uno de los números en el teclado. Ese ligero movimiento, prácticamente inapreciable a primera vista, queda registrado en detalle en el teléfono precisamente gracias al giroscopio. Por eso… ¿qué ocurriría si alguien decidiera aprovechar el giroscopio para robar el código de desbloqueo de tu móvil?

Esa es precisamente la pregunta que ha llevado a los expertos en seguridad informática de la Universidad de Newcastle (Reino Unido) a hacer un estudio al respecto. Y las conclusiones han sido demoledoras: un código de desbloqueo de cuatro dígitos se puede averiguar gracias al giroscopio en el 70% de los casos… ¡al primer intento!

LA FORMA EN QUE INTRODUCES TU PIN ES SUFICIENTE PARA AVERIGUAR EL CÓDIGO SECRETO

Tal y como explican los autores de la investigación, un simple código de JavaScript ejecutado en el móvil de la víctima es más que suficiente para poner en marcha el mecanismo que consigue descifrar una contraseña por los gestos que el usuario realiza con el teléfono en la mano. Dicho código se puede introducir a través de, por ejemplo, una página web que ha sido previamente infectada para distribuir esta amenaza.

Robar el PIN de un móvil a través de gestos en el giroscopio

El estudio se ha llevado a cabo sobre cinco usuarios que tuvieron que introducir 50 contraseñas diferentes en un móvil infectado (un Nexus 5) por el ataque en cuestión; en tan solamente tres intentos, el sistema es capaz de averiguar el código que ha introducido el usuario con una tasa de acierto cercana al 100%.

Por supuesto, el sistema para descifrar un PIN de desbloqueo a través del giroscopio no es infalible. Tal y como se explica en el estudio, para alcanzar una tasa de éxito relativamente razonable primero es necesario que el sistema estudie la forma en que la víctima utiliza su móvil.

El estudio no pretende poner la industria de los móviles patas arriba con este descubrimiento, ya que ningún hacker se va a molestar en realizar un procedimiento tan complejo para robar una simple contraseña de desbloqueo de la pantalla, sino que su intención reside en evidenciar lo poco conscientes que somos de los peligros que pueden llegar a representar los más de 20 sensores diferentes que incorporan nuestros teléfonos.

Pese a que todos sabemos los riesgos de seguridad que entrañan componentes de nuestro teléfono tales como la cámara o el GPS, muchos otros sensores tales como el giroscopio, el acelerómetro o el sensor de proximidad pueden llegar a representar los mismos -o incluso más- peligros para nuestra privacidad.

Fuente | Computerhoy.com

creditcarjpg_EDIIMA20150306_0521_13

Con las nuevas tarjetas que incorporan tecnología NFC para realizar micropagos, un ‘cibercaterista’ podría estar birlándonos mientras nosotros nos entretenemos con una ‘app’ aparentemente inofensiva que hemos descargado. Quién iba a decir que, de tapadillo, esa aplicación iba a mandar los datos de nuestra tarjeta de crédito a algún amante de lo ajeno.

Cada día nos lo ponen más fácil. Si mucha gente ya no llevaba encima un solo céntimo porque en la cartera descansaba la tarjeta, ahora ni siquiera es necesario introducir el plástico en un lector o pasarlo por la ranura: con acercarla al aparato, es suficiente. Así funciona la tecnología NFC, que permite transmitir datos entre dos dispositivos sin necesidad de contacto, solo por aproximación. Muy práctico, pero las reglas del juego en materia de seguridad también han cambiado.

Si antes nos andábamos con cuidado por si a los carteristas les daba por llevarse lo que no les pertenecía, ahora podríamos no enterarnos siquiera de que alguien nos está robando. Si el carterista se ha convertido en un ‘cibercarterista’ y ha decidido sacar partido a las vulnerabilidades de NFC, probablemente no nos percatemos de nada. Sería suficiente con que nuestro móvil estuviera infectado con alguna aplicación maliciosa y actuase como aliado de los mangantes.

Así lo han demostrado los españoles José Vila y Ricardo J. Rodríguez, que han impartido una ponencia al respecto en el congreso de seguridad informática Rooted CON. Su propósito no era otro que destripar la tecnología NFC, sus distintas capas, para comprobar si podían hacerse con cierta información de valor. “Se suponía que era posible, y lo que hemos hecho es llevarlo a la práctica”, cuenta Ricardo, doctor e ingeniero en Informática por la Universidad de Zaragoza que actualmente trabaja para la Universidad de León.

Estos dos investigadores han descubierto que, en las actualizaciones más recientes de Android, es posible que un ‘smartphone’ detecte una tarjeta NFC y transmita la información a otro teléfono para que se pueda hacer pasar por ella.

Si alguien con no muy buenas intenciones consigue que descargues una ‘app’ infectada con su ‘malware’, podría copiar buena parte de la información de tu tarjeta de crédito. ” Podríamos robar información de carácter personal, desde el número de la tarjeta hasta el titular de la misma, e incluso la fecha de caducidad, que son los datos que se transmiten por defecto cuando tú estás leyendo una tarjeta en NFC”, explica Ricardo. Se escapa el código de verificación (CCV) y poco más.

Toda esa información podría enviarse a un segundo ‘smartphone’ (vía Bluetooth, wifi o 3G) para que este se haga pasar por la tarjeta de crédito al acercarlo a un punto de pagos móviles, y realizar así ciertos cargos en la cuenta bancaria asociada a la tarjeta.

Así es como dos ‘smartphones’ maliciosos se pueden aliar en lo que se conoce como un ataque de ‘relay’ (o de retransmisión). Mientras uno capta la información y la envía, el otro hace las veces de tarjeta replicada y puede efectuar pequeñas compras al pasar sobre un datáfono.

Según Rodríguez, el máximo que se podría cargar en la cuenta corriente de la víctima es de 20 euros en el caso de España; algo más en otros países. Además, quien nos birlase la tarjeta no podría hacer todos los pagos que quisiera. Tal y como detalla Ricardo, “los bancos metieron un mecanismo adicional de seguridad. Hay un número de veces limitado en el que puedes hacer compras, de forma consecutiva, sin introducir el código PIN”.

Tal y como nos cuenta este ingeniero informático aragonés, los ‘relay’ no son nuevos. “Estos ataques llevan investigándose desde 2008 a nivel académico; lo novedoso es que ahora Android, con sus últimas versiones, permite que este tipo de ataques sean reales. Antes no era factible, teníamos que hacer ciertas modificaciones. Se podía, pero no por defecto”, nos explica. El dispositivo debía modificarse para obtener acceso ‘root’ (a la raíz del sistema operativo), un procedimiento relativamente sencillo pero que muy pocos usuarios aplican en sus móviles. El número de potenciales víctimas era, por tanto, muy reducido.

Ahora, sin embargo, basta con que el ‘smartphone’ que tiene el cometido de leer la tarjeta de crédito esté equipado con Android 2.3. y el que tiene que replicarla tenga KitKat 4.4. “Tampoco hace falta que sean nuevos modelos”, asegura Ricardo.

Aunque sea una actualización de Android la que hace posible el ataque, el investigador afirma que no es culpa de Google. A medida que el sistema operativo móvil de la compañía – de código abierto – se va desarrollando, se incorporan nuevas funcionalidades más avanzadas. “La tecnología NFC define tres modos de operación. El modo lector-escritor, el punto a punto y el de emulación. Lo que ocurre es que las primeras versiones de Android solamente se podían trabajar con modo lector-escritor o modo punto a punto. Fue a partir de la versión KitKat 4.4 cuando abrieron el modo HC o emulación”.

Tras su hallazgo, Rodríguez y Vila se han puesto en contacto con los bancos para informarles de que existen estos resquicios en la seguridad de sus servicios, por si consideran oportuno tomar medidas. Si bien es cierto que, a juicio de Ricardo, si de lo que se trata es de agilizar el proceso de pago, cuanta más capas de seguridad se pongan más lento será. “ Si quiero que esto sea rápido y estoy insertando protocolos de seguridad, estos van a hacer que sea más lento y, por lo tanto, menos atractivo para el usuario”, asegura. El difícil equilibrio entre simplicidad y seguridad, eterno dilema de un programador de ‘software’.

En cualquier caso, existen ya ciertas medidas de seguridad que pueden evitar este tipo de triquiñuelas. Ciertos mecanismos adicionales de verificación, por ejemplo, y el propio principio de proximidad que es clave en la tecnología NFC (impidiendo que los pagos se realicen desde un lugar distinto al que se encuentra el ‘chip’ de la tarjeta).

Con el método expuesto por Rodríguez y Vila, un juego entre dos teléfonos móviles que se alían, la distancia no supone una limitación relevante. Sin embargo, si además de acercar la tarjeta al aparato hiciera falta introducir alguna clave secreta, se podrían prevenir este tipo de acciones. ¿También esta clave se la acabarán saltando? Probablemente, pero la seguridad es una carrera entre los ‘malos’ y los ‘buenos’ y el premio, desgraciadamente, es tu dinero.

Fuente | Hojaderouter

Los usuarios de ‘smartphones’ no son inmunes a los ‘ciberintrusos’. Una gran parte de los ataques provienen de Rusia y China.

1372272749_extras_portadilla_1

Los usuarios de smartphones no son inmunes a los ‘ciberdelincuentes’ ni mucho menos, y éstos han incrementado sus ataques contra los dispositivos móviles de forma exponencial este año.

Entre marzo de 2012 y marzo de 2013, la cantidad de ‘malware‘ en forma de aplicaciones maliciosas introducida de forma fraudulenta (mediante engaño, sobre todo) en móviles con conexión a Internet saltó un 614%, según cálculos del fabricante de equipos Juniper Networks.

El estudio (resumen en PDF) pone el foco en el sistema operativo Android de Google, el cual se ve particularmente afectado por estos ataques cibernéticos: cerca del 92% de los ataques tienen como objetivo dispositivos con este sistema operativo. Esto se explica por el dominio global de este sistema abierto en el sector, que acapara alrededor de las tres cuartas partes de las cuotas de mercado.

Según Karim Toubba, de Juniper Networks, esto es también una señal de que “Android no tiene un filtro de seguridad riguroso” para las aplicaciones que se pueden instalar en el sistema, aunque señala que “todos los sistemas operativos tienen vulnerabilidades“.

Un primer grupo de ataques detectados consiste en mensajes comerciales enviados para prestar un falso servicio, que implican un pago de 10 ó 50 céntimos, por ejemplo. En general, los usuarios son apenas conscientes del ataque, que se refleja en unos pocos céntimos más en sus cuentas telefónicas.

Los ‘ciberdelincuentes’ son capaces de no dejar rastro, dice Toubba, que añade que el cobro del dinero se realiza en unos pocos días y luego suelen cerrar las cuentas asociadas a esta estafa. A menudo, el timo tiene forma de SMS o de correo electrónico que ofrece la actualización de un programa o una aplicación.

El estudio revela que la mayoría de los ataques de este tipo se realizan desde Rusia y China. Juniper también ha observado el desarrollo de ataques más sofisticados, enfocados al negocio de la ‘piratería’ (robo de propiedad intelectual) o incluso sustracción de datos de gobiernos.

Los atacantes “pueden usar el dispositivo como un vehículo de reconocimiento antes de ir más lejos en la red corporativa”, dice Toubba, y señala que muchos empleados tienen acceso al servidor de profesionales a través de su teléfono.

Juniper Networks asegura haber observado “varios ataques (contra ‘smartphones’) que pueden usarse para robar información confidencial de la empresa o para iniciar una intrusión más grande“. Se trata, reza el informe, de una tendencia delictiva que se espera que aumente de manera exponencial en los próximos años.

Fuente | El Mundo

A %d blogueros les gusta esto: