Un equipo de académicos de cinco instituciones de enseñanza superior estadounidenses ha creado conjuntamente este tipo de ciberataque que funciona explotando el canal lateral.
La protección móvil es como una autopista: cada día surgen nuevos problemas y su calidad depende en gran medida de que la gente evite los percances.
Éstos pueden ser provocados por investigadores que descubren susceptibilidades, por fallos en el sistema de seguridad o por otras causas. Un grupo de expertos de algunas de las universidades más prestigiosas de Estados Unidos ha diseñado un ataque denominado EarSpy, capaz de grabar lo que dice la gente utilizando tácticas creativas.
Estudiosos de varias universidades han trabajado en colaboración para intentar recoger las vibraciones del altavoz de un teléfono. Estos investigadores ya lo habían intentado en el pasado, pero este ataque es especialmente hábil incluso cuando el usuario se lleva el teléfono a la oreja.
Entre estas universidades se encuentran la Universidad de Dayton, el Instituto de Tecnología de Nueva Jersey, la Universidad de Rutgers, la Universidad A&M de Texas y la Universidad de Temple. Según informa SecurityWeek.
Los resultados de la investigación del grupo demostraron que EarSpy es preciso cuando solo depende de la información del auricular y del acelerómetro implícito en los terminales OnePlus 7T y OnePlus 9. Sin embargo, los analistas encontraron dificultades para captar información en los modelos más veteranos de OnePlus como consecuencia de la falta de altavoces estéreo.
Para desglosar las reverberaciones producidas por el altavoz intraauricular, el equipo utilizó espectrogramas y la extracción de elementos en el dominio de tiempo-frecuencia. El objetivo de la exploración era decidir el sexo del orador y la sustancia de lo que estaba hablando; si una persona no sabe quién está hablando, los agresores podrían reconocer su carácter mediante estas estrategias.
Los sistemas Android más actualizados cuentan con protocolos de seguridad mejorados diseñados para impedir el acceso de malware. A pesar de estas medidas, los ataques de EarSpy todavía pueden saltarse estos pasos de seguridad, ya que pueden recuperar fácilmente información sin procesar de los sensores de movimiento del teléfono.
Aunque algunos fabricantes intentan limitar el acceso a esta información, los investigadores de EarSpy creen que aún es posible infiltrarse en el aparato y escuchar a escondidas una conversación. El equipo afirma que EarSpy tiene una precisión del 98% a la hora de distinguir entre hombres y mujeres y puede reconocer correctamente la identidad del interlocutor en el 92% de los casos. Sin embargo, la comprensión de lo que se estaba diciendo se reduce al 56%. No obstante, los investigadores afirman que es 5 veces más preciso que las meras conjeturas.
El informe llama la atención sobre la necesidad de una mayor seguridad en el hardware, sobre todo en componentes como los sensores de movimiento, que pueden no parecer un peligro potencial. Para esquivar esta vulnerabilidad en los smartphones actuales, los científicos proponen que los fabricantes de teléfonos inteligentes coloquen los sensores de movimiento lejos de cualquier fuente de vibración y reduzcan la presión sonora durante las llamadas telefónicas. En teoría, EarSpy podría ser aprovechado por software malicioso infiltrado en el dispositivo para transferir datos a los atacantes.
