Dos científicos adscritos a la Universidad de Newcastle, Reino Unido, han logrado determinar un PIN, o código de identificación personal, de cuatro cifras al analizar los datos del giroscopio incorporado en un teléfono móvil. En el primer intento se alcanzó una precisión del 70%, que aumentó al 100% al realizar cinco intentos, escribe la publicación The Guardian.
Cabe señalar que se trata de una demostración teórica, difícil de reproducir en un entorno real, debido a que el procedimiento requiere acceder a una serie de datos del usuario antes de poder determinar con precisión qué números están siendo digitados.
Sin embargo, la técnica pone de relieve deficiencias en el acceso externo a la multitud sensores incorporados en un smartphone moderno, que además de GPS, cámara y micrófono normalmente incluye giroscopio y acelerómetro, explicó la Dra. Maryam Mehrnezhad, una de las científicas participantes en el proyecto.
“Debido a que las apps móviles no requieren pedir al usuario acceso a la mayoría de los sensores, aplicaciones o sitios web malignos pueden interceptar los datos generados por estas tecnologías, utilizándolas para obtener información del usuario. Esta información generada al hacer llamadas telefónicas, a realizar actividades físicas, o digitar en la pantalla táctil códigos y claves, como PIN”, agregó la investigadora.
“Cuando una aplicación quiere acceder a la localización del teléfono o utilizar la cámara, el usuario debe dar su autorización expresa. Sin embargo, lo mismo no ocurre si la misma aplicación quiere determinar la orientación del teléfono. sensores como el giroscopio hacen posible determinar si el usuario está leyendo, si desliza contenidos o hace clic en ellos, o la forma en que está sosteniendo el teléfono”, explicó Mehrnezhad.
Con base en esta información, los científicos pudieron determinar, mediante un sitio programado para tales efectos, la interacción que el usuario tenía con este.
La publicación The Guardian comparó esta problemática con una función disponible en HTML5, que hace posible para los sitios web conocer el nivel de la batería en el teléfono de los usuarios, sin contar con la autorización de estos. La función fue diseñada para dar a los diseñadores de webs la posibilidad de ofrecer en tiempo real una versión de bajo consumo de batería. Al respecto, cita una investigación realizada en 2015, donde se revelaba que la información sobre el nivel de la batería podría ser utilizada para detectar el patrón de navegación de un usuario incluso en modo incógnito.
La Dra. Maryam Mehrnezhad demuestra el procedimiento, que por ahora sólo es posible en laboratorio:
