Tutto ciò che occorre sapere su PINLogger, l’exploit su Android e iOS che indovina qualsiasi PIN e sa quando dormi

PINLogger è l'exploit capace di indovinare password e codici in pochi tentativi, e di spiare l'utente tramite i sensori del device

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

I sensori per smartphone possono essere una risorsa, ma anche un cavallo di Troia se utilizzati nel modo giusto – ossia, quello sbagliato – da hacker e sviluppatori: ve ne avevamo già parlato qualche tempo fa quando la Newcastle University aveva pubblicato un piccolo report a riguardo, ma torniamo sull’argomento dato che la stessa università ha ora sviluppato PINLogger, un software capace di indovinare al quinto tentativo qualsiasi password, oltre che a monitorare l’utente attraverso gli stessi sensori dei quali si serve per la realizzare l’exploit.

Siete pronti per scoprire tutte le minacce poste in essere da PINLogger, il software in grado di indovinare qualsiasi password di uno smartphone o iPhone attraverso il proprio browser?

Il browser è il nuovo cavallo di Troia

Nonostante Internet e la Rete siano sempre stati un luogo di incontro di APK infetti e file portatori di virus e malware, può capitare che siano gli stessi browser a fornire inconsapevolmente ad un hacker con le giuste competenze e conoscenze la possibilità di prendere controllo della vita privata di un utente non solo indovinando la password di blocco in soli cinque tentativi, ma anche monitorandone attività e cicli di riposo semplicemente controllandone i sensori.

pinlogger
Come funziona il sistema delle tab da cui PINLogger guadagnerebbe l’accesso

Si tratta di una realtà evidenziata dalla Newcastle University già qualche settimana fa, e ora messa in luce dallo sviluppo di PINLogger, un software Javascript capace di attivarsi automaticamente all’interno di in una scheda in background del browser per sfruttare i sensori del device per approfittare di un exploit ben diffuso tra i principali browser del Play Store, e non solo. Stando allo studio, nel quale a PINLogger è stato fatto dono della vita – fortunatamente questo programma non è mai stato visto in libertà – qualsiasi pagina web che contenga tra le pieghe del codice HTML un singolo PINLogger è capace di tramutarsi in un ingresso facilitato per hacker e spyware.

I sensori di un device sono un argomento molto sensibile, poco conosciuto e spesso del tutto ignorato dall’utenza generale: contrariamente però al livello di attenzione assegnato, rappresentano un elemento di vitale importanza per il mantenimento della privacy. Servendosi dei sensori dello smartphone (e, a parte specifiche componenti, non occorre generalmente che l’utente conceda particolari permessi) un malware è in grado di monitorare spostamenti, movimenti, conversazioni e molto altro, specialmente da quando i telefoni cellulari sono diventati parte integrante della vita quotidiana.

Come PINLogger attacca gli utenti Android

Il software, denominato tecnicamente PINLogger.js, può prendere possesso dei sensori semplicemente rimanendo aperto all’interno di una pagina web secondaria o in quella principale: la pericolosità dell’exploit è direttamente proporzionale al browser in uso che, come potrete notare proseguendo nella lettura, non sono tutti uguali. Una volta che PINLogger viene attivato – può essere frutto di una pressione involontaria su un banner pubblicitario malevolo, per esempio – questo si posiziona all’interno di una tab secondaria, spesso senza che l’utente se ne possa accorgere (specialmente, da quando Chrome ha ridotto nuovamente nella dimensione interna all’app il multitasking delle tab).

Il software procede attraverso un mix di machine learning, sistema di riconoscimento neurale del comportamento e studio dei sensori dello smartphone, specialmente quelli legati al movimento; così facendo, PINLogger è capace di indovinare un PIN di 4 cifre nel 74% dei casi al primo colpo – anche se opportunamente “addestrato” dal ricercatore che ha compiuto il test – e nel 100% dei casi al quinto tentativo (al contrario, un essere umano avrebbe rispettivamente solo il 1% e 6% di possibilità). Il sistema si avvale di exploit legati ai browser in circolazione su Google Play, alcuni dei quali decisamente celebri nonostante il basso sistema di sicurezza offerto.

PINLogger
La tabella comparativa dei browser e dei permessi concessi

I browser di cui PINLogger si serve permettono infatti l’accesso ai sensori del device, ma in maniera molto differente gli uni dagli altri: Chrome, per esempio, fornisce tale garanzia solamente alle pagine web caricate direttamente o tramite iframe, ma non ai server di banner pubblicitari (la pagina web maligna deve essere acceduta direttamente e consapevolmente). Così anche Firefox, Dolphin, Opera – senza l’esclusione dei server di advertising, chiaramente – mentre i peggiori della classifica sembrano essere Maxthon (di cui vi parlammo QUI in occasione dei 3 browser con problemi alla privacy da NON installare assolutamente), Baidu, CM Browser (sviluppato dall’infausta Cheetah Mobile), Boat e Next, con alcune aggiunte casuali che potete notare nella tabella superiore. Tutti questi browser forniscono a PINLogger – e non solo – l’accesso completo ai sensori del device in ogni situazione, con conseguenze allarmanti.

Così facendo infatti PINLogger può monitorare i cicli di sonno e di veglia, i movimenti, gli spostamenti e tanto altro sia che la pagina web sia attiva sia che sia posta in background, sia che lo smartphone sia bloccato che sbloccato.

Come difendersi da PINLogger

Per quanto riguarda PINLogger, abbiamo per tutti gli utenti Android una notizia positiva ed una negativa: la prima è data dalla natura aleatoria della minaccia. PINLogger è infatti un software creato in laboratorio con fini dimostrativi/didattici, e non è ancora stato trovato quale malware in libera circolazione. Ciononostante, non sarà necessario attendere molto perchè anche questo sistema di furto di password diventi popolare, soprattutto per via dell’assenza di una soluzione che, se introdotta, non vada poi a limitare le esperienze web del futuro, specialmente per quanto riguarda le nuove implementazioni quali le Android Instant Apps, per esempio.

Per ora, vi possiamo solo consigliare di utilizzare Chrome quale browser e chiudere quanto più spesso possibile le tab secondarie aperte.

Non lasciare che ti sorprendano, scopri QUI quali sono tutti i sensori che ospita uno smartphone e quali vengono utilizzati per spiarti!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Fonte Ars Techinca
Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//