Un troyano usa los sensores para rastrear las pulsaciones del teclado

Unos investigadores han diseñado una aplicación para Android que aparenta ser un juego pero por debajo registra todas nuestras pulsaciones en el teclado, desde el PIN hasta cualquier clave secreta. Para conseguirlo, usa los propios sensores del móvil para rastrear donde ponemos el dedo. Por suerte, es una prueba de concepto diseñada por gente respetable. Pero han demostrado el riesgo que corremos.

Los investigadores, de IBM y la Universidad de Pennsilvania (EEUU), han aprovechado una debilidad que comparten todos los terminales Android: la práctica totalidad de las aplicaciones piden acceso y lo obtienen a la información que proporcionan los sensores de movimiento u orientación. En principio esto es positivo. Sin este acceso Google Maps o las apps de realidad aumentad, por ejemplo, no servirían para nada.

El problema viene cuando una app es capaz de deducir donde hemos puesto el dedo en el teclado de la pantalla y, con la ayuda del giroscopio, el acelerómetro y los sensores de orientación, registra todo lo que tecleamos y lo envía de forma oculta a un servidor externo. Pues eso es lo que hace TapLogger, la aplicación creada por estos investigadores.

Bajo el aparente disfraz de un juego, TapLogger graba los sutiles cambios de orientación del móvil mientras introducimos la clave de desbloqueo, marcamos un número o escribimos una contraseña de acceso a una web. Mediante un proceso de aprendizaje, el troyano va afinando la posición de cada pulsación en la pantalla. No todos tenemos la misma cadencia de pulsaciones o la apariencia del teclado varía de un modelo a otro. Pero esta app no tiene prisa.

TapLogger no siempre acierta pero según los investigadores, ha conseguido obtener el número PIN en 81 intentos. Recordemos que una combinación de cuatro números da 10.000 posibles variantes. En el caso de una clave de seis dígitos, podría conseguir acertar en un 80% tras 729 intentos. Parecen muchos pero en un ataque de fuerza bruta (ir probando combinaciones una a una), necesitaríamos un millón de intentos.

Como hemos dicho, TapLogger solo es una prueba de concepto diseñada por dos investigadores que pretendían demostrar la fragilidad del sistema actual y dar la alerta antes que alguien con peores intenciones diseñe una aplicación similar.

Vía Ars Technica