Seguridad Informática #BOFHers

Inicio » Móviles

Category Archives: Móviles

Protegiendo el acceso a tu smartphone, los acelerómetros pueden jugártela

Existen varios métodos para bloquear el acceso a tu smartphone, en las últimas versiones de Android, a los conocidos PIN, contraseña y patrón de desbloqueo, se ha añadido la posibilidad del reconocimiento facial.

El PIN consiste en cuatro dígitos numéricos, sencillo de usar, sencillo de que alguien te vea marcarlo y se quede con él para desbloqueártelo en cualquier momento.

La contraseña es más complicada al tratarse de caracteres alfanuméricos (mi preferido hasta el momento).

El reconocimiento facial… el propio sistema Android te advierte cuando intentas usarlo que no es demasiado seguro, que alguien con rasgos faciales similares podría desbloquear el móvil… o si tienes una de las primeras versiones tan solo necesitarán una foto en la que aparezcas de frente.

La cuarta opción, la del patrón de desbloqueo en su día me pareció interesante, aunque dejé de usarla (y es con la que más me voy a extender) por varias razones.

La primera es que una pantalla sucia muestra el patrón de desbloqueo con solo ponerla en el ángulo correcto contra la luz:

BAlBb7jCcAAJryF

 

La segunda era una sospecha que ha confirmado el profesor Adam j. Aviv, el pasado diciembre publicaba Practicality of Accelerometer Side-Channel on Smartphones.

Por si no os apetece leeros todo el paper os hago un breve resumen.

Este estudio muestra que es posible descifrar los patrones de desbloqueo y los números PIN de un smartphone empleando los acelerómetros que ahora todos traen de serie.

En varios test se exportó la información generada por los acelerómetros durante el proceso de dibujo del patrón de desbloqueo o durante el marcado del código PIN en el teléfono y analizada contra un “diccionario” de movimientos y clicks en pantalla obtenido previamente.

En tan solo 5 intentos, el método acertó el 43% de los PINs y el 73% de los patrones de desbloqueo, bajando este porcentaje si la captura se realizaba mientras el usuario hacia estas operaciones moviéndose, ya que eso añade “ruido” a la información obtenida por los acelerómetros.

Resumiendo, asegurad el acceso a vuestro smartphone empleando contraseña y tratando de evitar los otros 3 métodos más inseguros y que pueden ser empleados por malware en un ataque orientado a un usuario específico para hacerse con su sistema de bloqueo previamente a tener acceso físico a su teléfono y posteriormente a todo su contenido. (fin del modo paranoico)

Aunque para esto último siempre conviene tener instalado algo parecido al Avast para Android, y su módulo anti-theft.

Nokia (y Opera Mini) desencripta el tráfico https de sus teléfonos móviles

Un experto en seguridad de origen indio, Gaurang K Pandya, descubrió hace unos días que el navegador web que incluyen los dispositivos móviles de Nokia, envían todo el tráfico generado en los móviles a través de unos servidores proxy de Nokia, los cuales se encargan de comprimir la información entre el móvil e Internet para reducir el consumo de datos.

Esto no es nada nuevo, Opera Mini (en el que está basado el navegador web de Nokia) hace lo mismo, aunque, a diferencia de Nokia, no tiene reparos en mostrarte el funcionamiento de su navegador accediendo a servicios https como tu banco, tu correo, etc.

En ambos casos el funcionamiento consiste en que cuando accedes a través de protocolo seguro https a, por ejemplo, tu banco, estos navegadores web establecen una comunicación segura entre el dispositivo móvil y el servidor proxy de Nokia (o de la empresa Opera dependiendo cual de los dos navegadores uses) empleando un certificado seguro propio del servidor proxy, allí la información es desencriptada para posteriormente volverse a encriptar cuando el proxy conecta contra el banco.

Esto significa que toda la información que tú crees que viaja segura gracias al https, tus claves, tus datos bancarios, o tus emails si accedes a Gmail desde esos navegadores, está siendo convertida a texto normal, leible por cualquiera, durante su paso por los servidores proxy de Nokia… lo que solemos llamar un ataque de Man in the Middle.

Nokia ha admitido esta práctica, aunque dice que no nos preocupemos, que no almacenan esos datos y que el desencriptado se hace de manera segura, que han establecido medidas técnicas y organizativas para evitar el acceso a esta información privada… ¿Recordáis las medidas que tomó White Star para hacer del Titanic un buque insumergible?

En informática no es posible aseverar que un servicio es seguro con una certeza del 100%, incluido un protocolo seguro como https, que puede dejar de serlo por una mala implementación del software que lo maneja, como ha pasado recientemente con Windows Vista, 7, 2008, 2012 y RT.

Que una compañía haga un proceso de Man in the Middle a sus usuarios, ya sea Nokia (que encima no lo advertía de manera sencilla a sus usuarios), Opera o cualquier otra es una temeridad que puede dejar al descubierto no solo cuentas de correo a las que se ha accedido por webmail, sino información más sensible como datos bancarios, claves de operación en cuentas, etc. a nada que un fallo de seguridad permita a empleados de la compañía o terceros  escuchar el tráfico interno de la máquina… y ya hemos visto en otros posts de este blog la cantidad de técnicas que hay para hacerlo.

Si usáis cualquiera de estos dos navegadores web, que también están disponibles para otros dispositivos móviles como Android y Windows 7.5 y 8, tened mucho cuidado con los datos que le proporcionáis durante la navegación web, sobre todo en sitios seguros y con información sensible.

Más información, en inglés:

Nokia phone forcing traffic through proxy

Nokia’s MITM on HTTPS traffic from their phone

A %d blogueros les gusta esto: