Diseñan una aplicación que adivina lo que se teclea en las pantallas táctiles

Un grupo de investigadores de la Universidad de Pensilvania junto y de IBM han diseñado una prueba de concepto de un troyano para Android capaz de robar las contraseñas y otra información sensible utilizando los sensores de movimiento del smartphone para determinar qué teclas está pulsando la víctima en la pantalla táctil cuando desbloquea el terminal o introduce el número de la tarjeta de crédito durante una operación bancaria.

El troyano, bautizado como TapLogger, ha sido diseñado para demostrar cómo los datos generados por el acelerómetros y los sensores de orientación de los smartphones se pueden emplear por parte de las aplicaciones sin ningún tipo de permiso que tenga en cuenta la privacidad.

Los datos del acelerómetro y el sensor de orientación no están protegidos bajo el modelo de seguridad de Android, lo que significa que están expuestos a cualquier aplicación, independientemente de los permisos que se le otorguen. Así lo han asegurado los investigadores a través de un documento presentado durante el “ACM Conference on Security and Privacy in Wireless and Mobile Networks” de la semana pasada.

TapLogger tiene varios components que funcionan en segundo plano y que son capaces de conseguir y utilizar los datos de los sensores de movimiento para infectar las entradas que se realicen a través de la pantalla táctil.

Después de su instalación, TapLogger funciona en modo entrenamiento y recoge la información de los sensores mientras el usuario disfruta de lo que cree que es un juego. Es algo necesario porque los movimientos difieren de cada usuario y terminal. Una vez recogidos los suficientes datos, el troyano empieza a utilizarlo para interferir en el tecleo del usuarios durante las operaciones que desea.