Técnica funciona no Android e também no iOS desbloqueado.
Normalmente, apps não podem acessar dados enviados a outros.
Uma pesquisa que será apresentada no final de fevereiro deve demonstrar um nova meio para capturar a digitação em dispositivos Android e iOS, recriando a ameaça dos "keyloggers" que capturam a digitação nos PCs. Desenvolvida por Neal Hindocha, consultor sênior em segurança da Trustwave, a técnica possui algumas limitações, mas mostra que o risco da captura de dados ainda existe nos celulares.
Sistemas usados em smartphones aplicam um isolamento que impede que um aplicativo tenha acesso aos dados de outro. Isso inclui as informações digitadas. Para burlar essa limitação,pesquisadores já apontaram possibilidades como a captura dos movimentos do celular resultantes do toque e a instalação de um "teclado alternativo". A primeira técnica tem uma alta taxa de erros e é difícil de ser desenvolvida para diversos modelos de celular, já que tamanho, peso e formato modificam os cálculos de movimento; já a segunda técnica requer bastante interação do usuário.
A técnica criada pelo pesquisador da Trustwave é nova e apresenta uma terceira possibilidade para a captura de dados. Hindocha desenvolveu um método que permite a um app capturar fotos da tela (screenshots) enquanto o usuário digita, bem como as coordenadas dos toques feitos na tela. Dessa forma, embora o app não tenha acesso aos dados digitados em si, é possível ver em que local da tela está o teclado e mapear os toques a cada tecla.
O truque pode ser aplicado em celulares iPhone ou iPads desbloqueados, em dispositivos Android desbloqueados (com "root") e na configuração de fábrica. Nesse último caso, porém, o app malicioso precisa ser instalado por um computador quando o usuário conectar o celular via USB. Hindocha observa que esse último método já está em uso por hackers para instalar pragas digitais com outras finalidades. Sistemas iOS com o bloqueio de fábrica estavam fora do escopo da pesquisa.
"Isso não explora vulnerabilidades, mas abusa de funcionalidades existentes", explicou Hindocha em entrevista ao G1. Ele conta que analisou a forma como os sistemas lidam com os eventos de toque e que combinou diversos truques para conseguir ler as coordenadas.
O especialista não quis opinar se os responsáveis pelos sistemas - o Google e a Apple - deverão modificar o software para impedir a técnica de funcionar. "Se isso deve ser modificado ou não cabe aos desenvolvedores do sistema, e como sempre envolve um equilíbrio entre funcionalidade e segurança", diz.
Hindocha conta que teve vontade de analisar a possibilidade de captura da digitação em celulares porque a Trustwave tem diversos clientes na indústria financeira. Durante um teste de vulnerabilidade, ele identificou o que parecia ser uma maneira de capturar os dados, e decidiu realizar a pesquisa. Ele chamou esse mecanismo de "touchloggin", ou "registro de toques". Em computadores, a captura de teclas tem o nome de "keylogging".
Os detalhes técnicos completos do ataque serão revelados durante a conferência de segurança RSA em São Francisco, nos Estados Unidos. A apresentação está marcada para o dia 26 de fevereiro.
via http://g1.globo.com/
0 comentários:
Os comentários serão moderados antes de publicar! respondo todos, obrigado por comentar.