Sensores do smartphone podem ser usados por hackers para descobrir o PIN

26 dez 2017 10:23

Este artigo tem mais de 6 anos

O acelerómetro, giroscópio e sensores de proximidade podem representar uma vulnerabilidade de segurança nos smartphones, indica um novo estudo.

Já se sabia que o bloqueio do smartphone com um padrão é um método fácil de "espiar" e que mesmo alguns sistemas de segurança biométrica são fáceis de enganar, incluindo o Face ID da Apple. Agora um estudo publicado pela universidade técnica de Nanyang, em Singapura, mostra que recorrendo aos vários sensores integrados no smartphone é possível contornar a segurança.

Os investigadores descobriram que utilizando informação combinada de seis sensores de smartphones e tecnologia de machine learning e deep learning é possível desbloquear os smartphones protegidos com um PIN em apenas três tentativas, com 99,5% de fiabilidade. A taxa de sucesso foi alcançada em smartphones Android que tinham um de 50 dos números PIN mais comuns.

O estudo foi publicado no Cryptology ePrint Archive, um dos repositórios abertos de publicações científicas desta área de investigação, e melhora os resultados obtidos anteriormente, quando as técnicas usadas só permitiam descobrir 74% dos códigos PIN. Segundo os investigadores, este sistema permite descobrir até 10 mil combinações de um código de quatro dígitos.

A utilização dos sensores permite verificar como é que o smartphone é "abanado" e quanta luz é bloqueada pelo polegar ou os dedos no momento de introdução do PIN, o que pode permitir a hackers usar estes dados para aceder ao telefone.

Os investigadores lembram que há muitas aplicações que têm acesso a esta informação dos sensores dos telemóveis e acreditam que esta é uma falha de segurança relevante.

A investigação durou 10 meses e foi liderada por Shivam Bhasin, que trabalhou com David Berend e Bernhard Jungk. Os investigadores desenvolveram um algoritmo que foi treinado com dados recolhidos de três pessoas, que introduziram de forma aleatória 70 códigos PIN num telefone Android.

Apesar de existirem diferenças na forma de introdução de dados no telefone que são específicas para cada utilizador, os investigadores admitem que a repetição torna mais fácil a descoberta dos códigos. E à medida que o algoritmo aprende com mais dados torna-se mais preciso.

Shivam Bhasin alerta para o facto de muita desta informação estar acessível livremente a qualquer aplicação e defende que os sistemas operativos móveis devem limitar o acesso a esses sensores, de forma a que o utilizador tenha de dar o seu consentimento para a utilização.

O conselho dos investigadores é para que os utilizadores definam códigos PIN com mais de quatro dígitos e os combinem com outros modelos de autenticação, como passwords de utilização única, reconhecimento facial e impressão digital. Estas são aliás as formas já usadas pelos smartphones de nova geração que estão a mudar a segurança nos dispositivos móveis.