Indossabili: rischio sicurezza per i nostri dati?

Una ricerca condotta dal dipartimento di Ingegneria elettrica e informatica presso l'Istituto Stevens of Technology e Binghamton University di New York, ha rivelato che gli indossabili come smartwatch e bande fitness potrebbero facilitare l'accesso ai nostri dati.

0
92
L’incubo sicurezza rappresentato da Internet non è solo legato alla mancanza di competenze all’interno delle società che aggiungono connettività ad aggeggi e gadget. Spesso è proprio la sensibilità dei sensori collegati, sparsi qua e là, che possono aprire potenziali varchi di attacco per gli hacker determinati. Da qui, la necessità di una reale sicurezza per bloccare i rischi.

Una ricerca condotta da un team del dipartimento di Ingegneria elettrica e informatica presso l’Istituto Stevens of Technology con la collaborazione della Binghamton University di New York, ha dimostrato come un dispositivo indossabile (ad esempio, uno SmartWatch) potrebbe finire per compromettere il codice PIN degli utenti grazie al rilevamento dati che genera il movimento.

Il team ha combinato i dati dei sensori indossabili, raccolti da oltre 5.000 tracce realizzate da 20 adulti, con un algoritmo che hanno creato per dedurre le sequenze delle chiavi di ingresso sulla base dell’analisi dei movimenti della mano. Questa tecnica è stata applicata a diversi tipi di tastiere (tra cui lo stile ATM e varianti della tastiera QWERTY) e sono stati utilizzati tre differenti tipi di indossabili (due smartwatches e un dispositivo di movimento-tracking a nove assi).

Il risultato? Sono stati in grado di effettuare il crack del PIN al primo tentativo, con l’80 per cento della precisione; al terzo tentativo, con il 90 per cento della precisione.

Indossabili: rischio sicurezza per i nostri dati? aria wearable TechNinjaIndossabili: rischio sicurezza per i nostri dati?

Ecco una descrizione del lavoro estratto dal loro documento di ricerca.

In questo lavoro, abbiamo dimostrato che un dispositivo indossabile può essere sfruttato per determinare le distanze in millimetri e le direzioni dei movimenti della mano degli utenti; queste consentono agli aggressori di riprodurre le traiettorie della mano dell’utente per poi recuperare le voci delle chiavi segrete. In particolare, il sistema conferma la possibilità di utilizzare i sensori incorporati nei dispositivi indossabili, ovvero accelerometri, giroscopi e magnetometri, per ricavare la distanza di movimento della mano dell’utente durante l’inserimento dei dati, indipendentemente dalla posa della mano. Il nostro algoritmo Backward PIN-Sequence Inference sfrutta i vincoli fisici intrinsechi tra le chiavi per dedurre la sequenza, poi, la chiave completa.

La ricerca è stato comunicata a IEEE Spectrum. Uno dei ricercatori, il professor Yan Wang, ha detto ad IEEE che è il volume dei sensori indossabili a far sì che questa tecnica funzioni, fornendo “informazioni sufficienti” dei movimenti della mano. Quindi, più la mano si muove, più il dispositivo è meno sicuro.

Per eliminare gli errori quando si cerca di calcolare la distanza percorsa basata sull’accelerazione la squadra ha lavorato a ritroso, partendo dal movimento finale in una sequenza di input (come ad esempio enter sulla tastiera). Questo ha permesso loro di tradurre il resto dei tasti premuti.

Il metodo di attacco non richiederebbe la vicinanza fisica di un hacker al momento della diggitazione del PIN, in quanto i pacchetti di dati necessari potrebbero essere rubati da uno sniffer wireless posizionato vicino ad una tastiera, pronta a catturare i pacchetti Bluetooth inviati dall‘indossabile allo smartphone. Oppure tramite un malware installato sull’indossabile o sullo smartphone per intercettare i dati e inviarli a chi vuole accedere illegalmente ai dati.

E mentre la maggior parte codici PIN sono solo una manciata di cifre, il team crede che la tecnica potrebbe in realtà essere utilizzata per alimentare un keylogger pieno.

Questo può essere esteso per curiosare le battiture e interpretare le password delle persone o ciò che è stato digitato

ha detto a TechCrunch il professore Yingying Chen, un altro dei ricercatori coinvolti nel progetto,

Abbiamo un altro progetto di ricerca su questo. Entrambi gli orologi intelligenti e le bande fitness rappresentano un rischio

ha aggiunto.

Un modo per evitare che il vostro SmartWatch o braccialetto di fitness perda il PIN è quello di inserire le cifre con l’altra mano, quella che non ha l’indossabile. Chen ha confermato che questo impedirebbe alla tecnica di funzionare.

Una strategia alternativa per coloro che indossano un’indossabile e digitano il PIN o la password è quello di aggiungere un po  di “rumore” durante l’operazione, muovendo a caso la mano tra le pressioni dei tasti, ha detto Wang. Il che non sembrerebbe affatto strano.

Secondo Wang, il fissaggio della vulnerabilità andrebbe eseguito alla fonte e richiederebbe che i produttori degli indossabili si prodigassero per proteggere meglio i dati di rilevamento generati dai dispositivi. Egli ha aggiunto che potrebbero anche oscurare il segnale trapelato dai sensori, iniettando rumore nei dati in modo tale che non fosse così semplice decodificarli.

Sul fronte del segnale offuscamento, in occasione della conferenza degli sviluppatori WWDC, Apple ha annunciato che, per aumentare la sicurezza dei dati, avrebbe utilizzato una tecnica chiamata privacy differenziale nella prossima versione del suo sistema operativo mobile, iOS 10.

In termini di sicurezza, comunque, avere più rumore potrebbe essere un vantaggio.