Un equipo de investigadores de seguridad de la Universidad de Shanghái Jiao Tong (China) ha llevado a cabo un estudio que demuestra que es posible robar las contraseñas, los números PIN y cualquier pulsación en el teclado de los smartphones a través de las señales WiFi.
La forma en la que los usuarios mueven los dedos a través de la pantalla táctil de un teléfono móvil altera las señales de radio CSI (Información del Estado del Canal), que forman parte del protocolo WiFi y que son transmitidas por el dispositivo, lo que provoca interrupciones que los atacantes pueden interceptar y analizar. Después, aplicando tecnología inversa, pueden saber con precisión qué es lo que la víctima ha escrito en su terminal.
Para aprovechar esta circunstancia, los investigadores chinos han desarrollado un keystroke llamado WindTalker, un framework que permite al atacante inferir las pulsaciones en la pantalla de un dispositivo móvil a través de las señales WiFi. Para obtener los datos no es necesaria la presencia de dispositivos externos cercanos al smartphone de la víctima, lo único que hace falta es que esté conectado a una WiFi pública.
WindTalker es fácil de implementar y difícil de detectar. Además, tiene la capacidad de analizar de manera conjunta el tráfico de Internet y las interferencias de las pulsaciones, de manera que al atacante le resulta fácil identificar los momentos en los que el usuario ha introducido credenciales.
Para llevar a cabo el estudio, el equipo implementó WindTalker en varios móviles y efectuó un análisis detallado para evaluar la precisión con la que era posible averiguar la contraseña de Alipay, una de las mayores plataformas de pago móvil en el mundo. Los resultados revelaron que a través de este sistema es posible adivinar las claves con una precisión promedio del 68,3%, aunque esta cifra varía en función de la marca y el modelo de terminal.
– Por Sandra Arteaga
– Fuente: Computer Hoy