Yahoo Finanza Il malware che indovina la password ascoltando la digitazione sul telefono
![[Getty]](https://s.yimg.com/ny/api/res/1.2/3C8.jcN0AoxFdlQ4N.6HhQ--/YXBwaWQ9aGlnaGxhbmRlcjt3PTk2MDtoPTY0MA--/https://media-mbst-pub-ue1.s3.amazonaws.com/creatr-uploaded-images/2019-06/c341b2b0-967a-11e9-adb3-f6ca4ae9c82c)
Rubare password e PIN ascoltando il suono della tastiera dello smartphone. Questo sarebbe in grado di fare un malware di possibile progettazione, secondo quando affermano ricercatori di due università: Cambridge (Inghilterra) e Linköping (Svezia). In un articolo apparso sul database della Cornell University, i ricercatori spiegano che la tecnica si basa sul machine learning, non è infallibile, ma può indovinare con precisione oltre la metà dei PIN a quattro cifre usati nel test su tablet Android.
“Abbiamo dimostrato che l’attacco può recuperare con successo i PIN, singole lettere e intere parole”, hanno scritto i ricercatori Ilia Shumailov, Laurent Simon, Jeff Yan e Ross Anderson nell’articolo, segnalato in particolare dal Wall Street Journal. “Abbiamo mostrato un nuovo attacco acustico a canale laterale agli smartphone e ai tablet”, hanno aggiunto i ricercatori.
La tecnica descritta si basa sulle onde sonore e sui microfoni. Quando si batte con le dita sullo schermo di smartphone e tablet si dà vita a onde sonore. A ciò va aggiunta la presenta, sulla totalità dei dispositivi portatili, di microfoni, quelli che utilizziamo per le telefonate o per i vocali su Whatsapp. Sono proprio questi i microfoni che i ricercatori hanno utilizzato per individuare le onde sonore generate dalla digitazione dei codici sullo schermo. Il software ha il compito di scoprire quale dei microfoni ha per primo sentito il suono: questo consentirebbe di elaborare ipotesi plausibili sulla parte dello schermo da cui il suono ha tratto origine, dando un elemento per indovinare la password o il PIN.
In uno dei test, il sistema è stato in grado di indovinare correttamente un codice di quattro cifre con uno score del 73% entro dieci tentativi. In un altro test, ha identificato il 30% di password composte da sette a tredici caratteri dopo 20 tentativi.
Il compito degli hacker dovrebbe essere quello di spingere le loro vittime a installare il malware nei telefoni, per consentire al software l’accesso ai microfoni. Per i ricercatori stessi, tuttavia, è improbabile che ciò avvenga, perché l’accesso al microfono nei dispositivi di ultima generazione non è automatico ma su autorizzazione degli utenti. Che difficilmente lo darebbero a un malware.
