Esistono diversi metodi per rubare la password digitata con una tastiera, ma la tecnica utilizzata da un team di ricercatori della Binghamton University e del Stevens Institute of Technology sembra provenire da un episodio di CSI: Cyber. È infatti possibile ricostruire la traiettoria della mano sulla tastiera e quindi ottenere la sequenza alfanumerica esatta, se l’utente indossa uno smartwatch o un fitness tracker.
I dispositivi indossabili integrano vari sensori necessari per il monitoraggio dell’attività fisica. I dati registrati possono essere inviati allo smartphone collegato via Bluetooth. I ricercatori della due università statunitensi hanno però scoperto che uno smartwatch può essere utilizzato anche per rubare le credenziali di accesso ad un conto online o il PIN del bancomat. Un malintenzionato potrebbe accedere ai sensori mediante un malware oppure intercettare i dati con uno sniffer wireless.
La tecnica prevede la registrazione dei movimenti della mano attraverso accelerometro, giroscopio e magnetometro, tre sensori integrati nei dispositivi. Da queste informazioni è possibile stimare la direzione e la distanza tra due battiture consecutive, sfruttando un algoritmo inferenziale. I ricercatori hanno eseguito oltre 5.000 test per 11 mesi con diversi indossabili, riuscendo ad indovinare la password con una precisione dell’80% al primo tentativo e del 90% dopo tre tentativi.
I ricercatori suggeriscono ai produttori l’uso di una migliore crittografia per la comunicazione tra dispositivo e sistema operativo. Inoltre è consigliabile offuscare i dati con “rumore” per impedire la registrazione accurata dei movimenti della mano, senza tuttavia incidere negativamente sulle funzionalità dello smartwatch o del fitness tracker.