Uma equipe de pesquisadores da Universidade de Newcastle, no Reino Unido, demonstrou como os criminosos poderiam roubar sua senha simplesmente rastreando o movimento do seu telefone. Não se preocupe, a Apple emitiu patches no ano passado para impedir que alguém colete dados de sensores, mas os usuários do Android correm o risco de ter seus códigos roubados se visitarem um site não autorizado ou acessarem um link de malware. Embora o Google esteja ciente do problema, ainda está procurando uma solução.
O método consiste em detectar a maneira como o usuário inclina o telefone ao digitar as informações. Programas maliciosos hospedados em sites ou injetados em aplicativos legítimos podem escutar secretamente os dados coletados pelos inúmeros sensores internos do telefone e usá-los para descobrir uma ampla variedade de informações confidenciais sobre você.
E com um pouco de ajuda de algoritmos avançados de aprendizado de máquina, o método apresentado pelos pesquisadores da Universidade de Newcastle pode até quebrar PINs de quatro dígitos com uma precisão de 70% na primeira tentativa e 100% na quinta tentativa.
DICA: Proteja seus dispositivos iOS com senha de 6 dígitos
O telefone de cada pessoa cria padrões de movimento distintos.
Para entender esses padrões, os pesquisadores treinaram uma rede neural artificial com dados coletados de pessoas que digitam senhas para acessar várias contas.
Segundo a autora principal, Maryam Mehrnezhad:
A maioria dos smartphones, tablets e outros dispositivos vestíveis agora está equipada com uma infinidade de sensores, desde o conhecido GPS, câmera e microfone até instrumentos como giroscópio, proximidade, NFC, sensores de rotação e acelerômetro.
Porém, como aplicativos e sites para celular não precisam solicitar permissão para acessar a maioria deles, programas maliciosos podem "escutar" secretamente os dados do sensor e usá-los para descobrir uma ampla variedade de informações confidenciais sobre você, como o tempo das chamadas, atividades físicas e até ações de toque, PINs e senhas.
Mais preocupante, em alguns navegadores, descobrimos que se você abrir uma página em seu telefone ou tablet que hospeda um desses códigos maliciosos e depois abrir, por exemplo, sua conta bancária on-line sem fechar a guia anterior, eles poderão espionar todos os detalhes pessoais inseridos.
E pior ainda, em alguns casos, a menos que você os feche completamente, eles podem até espioná-lo quando o telefone estiver bloqueado.
Agora, os pesquisadores estão avaliando se os dados de movimento produzidos por rastreadores de fitness e dispositivos portáteis como o Apple Watch - incluindo dados sobre os menores movimentos do punho, bem como atividades físicas em geral, como sentar, andar, correr e diferentes formas de deslocamento - podem representar um risco para o seu privacidade.
Como mencionado, a Apple lançou um patch para este último ano como parte do iOS 9.3.
Se você quiser saber mais sobre a vulnerabilidade, leia o white paper.
Fonte: Universidade de Newcastle (1), (2) via Engadget
