La seguridad en smartphones es un tema que empieza a estar en boca de todos. El malware encontrado en repositorios de apps alternativos a Google Play son el principal foco de infección. Ahora unos desarrolladores nos muestran cómo puede camuflarse en este tipo de aplicaciones un software capaz de detectar códigos PIN y contraseñas a partir de la cámara frontal y micrófono del terminal.
En España todos los terminales vendidos incluyen por defecto la opción de petición de PIN de seguridad para utilizar cualquier tarjeta SIM. Es una medida de seguridad para evadir la acción de cacos. Sin embargo, este tipo de sistema de bloqueo empieza a usarse cada vez más frecuentemente en apps que requieren cierto nivel de seguridad.
Cámara y micro, los elementos que delatan al usuario
Por este motivo, según nos cuentan desde AndroidAyuda, averiguar este tipo de secuencias numéricas puede convertirse en un punto de máximo interés para los ciberdelincuentes. ¿Cómo pueden conseguirlo? Un equipo de investigación de la Universidad de Cambridge habría dado con la fórmula al diseñar la aplicación denominada Skimmer PIN. Esta aplicación o versiones adaptadas, que en un futuro podrían camuflarse con otras Apps no disponibles desde Google Play, es capaz de averiguar el código PIN del teléfono por medio de la propia cámara frontal de un teléfono y el micrófono. En realidad el método utilizado se basa en la detección de la dirección de la mirada de los ojos del usuario acorde a la posición del terminal. También forma parte el micrófono del terminal. Éste capta el tono de cada tecla marcada, de modo que se interpreta la secuencia de números utilizada.
Elevada efectividad de la herramienta
La prueba se llevó a cabo sobre un Samsung Galaxy S3 y un Nexus S, con los que se demostró que Skimmer PIN puede suponer una herramienta de alta eficacia. Y es que según nos comentan desde Android Ayuda, la Universidad de Cambridge indica que de un total de cinco intentos para descubrir un PIN de cuatro dígitos la app obtiene una tasa de acierto del 50%. En el caso de una contraseña con ocho números, la tasa de acierto se sitúa incluso por encima, con el 60%. De este modo no es necesario incluso ni un Keylogger, que monitorea la pulsación de las propias teclas del teléfono.
¿Se extenderá en un futuro a corto plazo este tipo de malware? ¿Tendremos herramientas igualmente efectivas para neutralizar su función?