Password a rischio con l’app che spia i tuoi gesti

Attenti a quello smartphone, almeno se tenete alla privacy: ha grandi poteri, anche come spia. È una fonte inesauribile di dati e quindi anche una potenziale minaccia per la riservatezza. Le insidie si nascondono non solo nella fotocamera, nel microfono o nei sistemi di geolocalizzazione, già noti per mettere a repentaglio informazioni che ci riguardano: dal luogo in cui ci troviamo alle conversazioni. Ma i pericoli si trovano persino nei sensori che monitorano il modo in cui lo muoviamo.

Dei ricercatori della britannica Università del Newcastle hanno infatti dimostrato di riuscire a decifrare pin, e conseguentemente password, semplicemente analizzando il modo in cui incliniamo il telefono mentre digitiamo le cifre sullo schermo. Un risultato notevole che è stato appena pubblicato sull’International Journal of Information Security, rivista scientifica che ospita ricerche nell’ambito della sicurezza informatica.

Il trucco sta nei sensori di movimento, come giroscopio e accelerometro. Li conosciamo poco, eppure si trovano all’interno di quasi tutti gli smartphone e vengono sempre più utilizzati da applicazioni e siti web. Ci permettono, ad esempio, di trasformare il telefono in un planetario tascabile grazie a cui osservare il cielo. O, più banalmente, di far ruotare lo schermo dalla posizione orizzontale a quella verticale.

“Molti telefoni, tablet e dispositivi indossabili vengono oggi equipaggiati con una moltitudine di sensori“, spiega Maryam Mehrnezhad, a capo dello studio. “Tuttavia, dato che app e siti non hanno bisogno di chiederci un’autorizzazione per accedere a molti di loro, virus e malware possono segretamente carpirne i dati e ottenere una serie di informazioni sensibili come gli orari delle telefonate, i movimenti del corpo e ciò che digitiamo, inclusi pin e password”.

Più nel dettaglio, l’équipe di geek del Newcastle ha usato un codice nascosto in una pagina web per accedere ai sensori di movimento di uno smartphone Android, senza il bisogno di ottenere alcuna autorizzazione. Esaminando le informazioni raccolte, ha poi dimostrato di poter azzeccare i pin con il 70% di accuratezza al primo tentativo, e ben il 100% al quinto. Un pericolo, sostengono gli studiosi, di cui siamo abbastanza ignari. Niente eccessivi allarmismi, però: non si tratta di un sistema facilmente utilizzabile.

“Esistono modi molto più semplici per ottenere lo stesso risultato – ci spiega Stefano Zanero, professore del Politecnico di Milano – Lo studio dimostra però come, incrociando tra di loro i dati di alcuni sensori del cellulare, si possono ottenere informazioni anche riservate a cui non pensiamo”. Come proteggersi? I ricercatori segnalano una serie di accorgimenti: cambiare spesso password e pin, chiudere le app non utilizzate, scaricarle da negozi digitali sicuri e leggere attentamente le autorizzazioni richieste. Anche se, segnala Zanero, “in mancanza di una policy di sicurezza del sistema operativo che consente di escludere dalle applicazioni l’uso di questi sensori c’è, relativamente, poco da fare”. Fare a meno dello smartphone è certamente un’opzione, forse alquanto impraticabile.

Riferimenti: Journal of Information Security