"I sensori di movimento incorporati negli smartphone potrebbero offrire agli aggressori un modo per dedurre i PIN di sicurezza, hanno scoperto i ricercatori dell'Università di Newcastle.
Gli smartphone di oggi sono dotati di questi sensori, che vanno da quelli più noti come GPS, fotocamera, microfono e lettori di impronte digitali, ma includono anche accelerometri, giroscopi, sensori di luce ambientale, magnetometri, sensori di prossimità, barometri, termometri e sensori di umidità dell'aria. – per citarne solo alcuni dei 25 stimati nei modelli più equipaggiati.
Si tratta di molti dati a cui mirare un'app non autorizzata o un sito Web dannoso, molti dei quali non sono coperti da alcun sistema di autorizzazioni o notifiche coerente.
Lo studio dell’Università di Newcastle si è concentrato sui sensori che registrano l’orientamento, il movimento e la rotazione di un dispositivo che, secondo le ipotesi del team, potrebbero essere utilizzati per rivelare specifiche azioni tattili.
La metodologia prevedeva che 10 utenti di smartphone immettessero 50 PIN di prova a quattro cifre cinque volte ciascuno su una pagina web, che forniva dati per addestrare la rete neurale utilizzata per indovinare i PIN.
In effetti, la rete ha indovinato il PIN corretto al primo tentativo ben il 70% delle volte. Alla quinta ipotesi, la percentuale di successo ha raggiunto il 100%.
Per fare un confronto, il team calcola che un'ipotesi casuale di un PIN di quattro cifre (tra 10.000 possibilità) avrebbe una probabilità di essere corretta solo il 2% delle volte alla prima occasione e il 6% delle volte indovinando tre.
Si tratta di un tasso di ipotesi impressionante: quindi gli utenti di smartphone dovrebbero essere preoccupati?
A breve termine, non proprio. Addestrare la rete neurale per raggiungere questo livello di precisione ha richiesto una grande quantità di dati di addestramento – 250 PIN per utente target – su cui basare le proprie inferenze su quali tasti gli individui avevano toccato.
La raccolta di ciascuno di questi PIN poteva essere ottenuta solo in condizioni specifiche, ad esempio se un utente malintenzionato stesse eseguendo un’app non autorizzata o avesse attirato l’utente su un sito Web che eseguiva codice JavaScript dannoso in una scheda rimasta aperta mentre immetteva un PIN in un altro sito.
Nelle condizioni del mondo reale questo sarebbe piuttosto difficile da realizzare. In ogni caso, sottolinea il team, fino a un quarto degli utenti di smartphone sceglie i PIN da un insieme prevedibile di 20 sequenze comuni come 1234, 0000 o 1000, quindi indovinare il PIN neurale avanzato potrebbe essere eccessivo.
Ciò che lo studio ci dice è che il modo in cui qualcuno tiene, clicca, scorre e tocca uno smartphone genera dati che non sono così indecifrabili o casuali come probabilmente le persone pensano che siano.
L'autrice principale dello studio, la dott.ssa Maryam Mehrnezhad, ha dichiarato: "Tutti chiediamo a gran voce l'ultimo telefono con le ultime funzionalità e una migliore esperienza utente, ma poiché non esiste un modo uniforme di gestire i sensori in tutto il settore, essi rappresentano una vera minaccia per la nostra sicurezza personale. "
Una soluzione potrebbe essere quella di estendere le autorizzazioni dei sensori in modo che gli utenti possano vedere quando un sito o un’app dannosa vi accede. Ma ora ce ne sono così tanti all’interno degli smartphone che potrebbero portare a un sovraccarico di notifiche.
Gli altri suggerimenti del team – cambiare regolarmente i PIN, controllare le autorizzazioni delle app prima dell’installazione, chiudere le schede e le app in background – sono validi ma difficilmente faranno molta impressione sull’utente medio di smartphone se la cronologia dei consigli sulla sicurezza è qualcosa su cui basarsi.
In alternativa, le persone potrebbero semplicemente utilizzare PIN più lunghi o, meglio ancora, l’industria potrebbe abbandonarli del tutto (come sta facendo altrove) a favore di migliori opzioni di sicurezza. Agli utenti piacciono i PIN, ma come dice la battuta finale, i loro giorni sono sicuramente contati."
Fonte: John E. Dunn, baresecurity.sophos.com