Gli esperti della Newcastle University hanno scoperto che siti web e app possono rubare dati sensibili, utilizzando le informazioni raccolte dai sensori integrati negli smartphone. Analizzando il movimento del dispositivo durante la digitazione è possibile indovinare un PIN a quattro cifre con una precisione del 70% al primo tentativo e del 100% al quinto tentativo. I dettagli della ricerca sono stati pubblicati sulla rivista International Journal of Information Security.
In smartphone, tablet, smartwatch e altri dispositivi indossabili sono presenti fino a 25 sensori, tra cui GPS, fotocamera, microfoni, bussola, accelerometro e giroscopio. I ricercatori hanno rilevato che poche persone conoscono i rischi per la sicurezza e molte non sanno nemmeno a cosa servono. Poiché app e siti web non chiedono il permesso di accesso ai sensori, i malware possono “ascoltare” i dati registrati e sfruttarli per rubare informazioni sensibili, come PIN e password. Se l’utente apre con il browser una pagina che contiene codice infetto e contemporaneamente la pagina dell’account di banking online, il malware può registrare tutti i dati inseriti.
In alcuni casi, lo spionaggio avviene anche quando lo smartphone è bloccato. Le persone contattate dagli esperti della Newcastle University hanno dichiarato di essere preoccupati soprattutto dei sensori più noti, come fotocamera e GPS, ovvero gli unici che chiedono il permesso prima di accedere al dispositivo. Lo studio ha evidenziato la possibilità di creare specifici profili in base al modo in cui l’utente esegue determinate azioni touch (tap, swipe, hold, scroll). I sensori consentono quindi di individuare su quale parte della pagina web è stata eseguita la gesture e cosa viene digitato.
Alcune software house hanno parzialmente risolto il problema (Apple con Safari e Mozilla con Firefox), ma al momento non esiste una soluzione definitiva. Gli esperti della Newcastle University consigliano di chiudere tutte le app in background (se non usate), cambiare spesso PIN e password, installare solo app dagli store ufficiali, controllare i permessi ed eventualmente scegliere app alternative.