Siamo ancora agli albori della Internet of Things ed il percorso per un mondo di tecnologia totalmente connessa è ancora lungo.
Ma quanti, fino ad ora, hanno affermato a gran voce che più il numero ed il tipo di dispositivi connessi saranno alti tanto più si alzeranno i pericoli per la sicurezza?
Molti, di certo, ed i fatti danno loro ragione già da qualche tempo. E, neppure a dirlo, arriva l’ennesima dimostrazione.
Una ricerca collaborativa condotta dal dipartimento di ingegneria elettronica dello Stevens Institute of Technology e dall’Università di Binghamton (NY) mette nel mirino gli smartwatch e gli smartband, dimostrando come questi possano trasformarsi in autentici keylogger e rivelare password e PIN degli utenti che li utilizzano.
Il criterio è semplice: la combinazione dei dati generati dai sensori di questi dispositivi (accelerometro, giroscopio e sensori di movimento vari) possono, con un dovuto algoritmo messo a punto dai ricercatori, rivelare cosa l’utente ha digitato sulla tastiera di un PC, di un ATM o di qualsiasi altro dispositivo simile analizzando le posizioni della mano.
Morale della favola: rubare ad esempio il PIN della carta di credito potrebbe essere tremendamente semplice.
Il team ha combinato oltre 5000 password digitate da 20 adulti con l’algoritmo creato per analizzare sequenze e movimenti, applicando la medesima tecnica a diversi tipi di tastiera (includendo ATM e tastiere qwerty), il tutto utilizzando tre differenti tipi di indossabile – due smartwatch ed un dispositivo con sensore di movimento a nove assi.
Il risultato è stato piuttosto destabilizzante: al primo tentativo i ricercatori hanno craccato i PIN con una percentuale di precisione dell’80%, che si è alzata di 10 punti percentuali dopo 3 tentativi.
Il team, inoltre, ha messo a punto un metodo per contrassegnare la fine della sequenza digitata studiando ed inserendo nell’algoritmo la posizione del tasto “Enter” sulle varie tastiere.
Ad aggravare la situazione il fatto che per ottenere i dati non ci sia bisogno di presenza fisica nelle vicinanze: basta un dispositivo in grado di intercettare ed inviare al malintenzionato i dati scambiati tramite Bluetooth tra indossabile e smartphone associato.
Ciò può essere esteso a scenari in cui vengono spiate le pressioni dei tasti, interpretando le password delle persone o ciò che è stato scritto. Abbiamo un altro progetto di ricerca in merito.
Sia gli smartwatch che i fitness band rappresentano un rischio.
In due parole: smartwatch e smartband possono diventare dei veri e propri keylogger.
Al problema, tuttavia, esistono almeno due soluzioni: la prima è attuabile dai produttori e consisterebbe nell’alterare con del “rumore” – ovvero con dei dati aggiuntivi pseudocasuali – ciò che l’indossabile trasmette allo smartphone, così da complicarne l’interpretazione da parte di dispositivi spia.
La seconda, molto più semplice, è una pratica che chiunque utilizzi indossabili da polso o da braccio potrebbe far sua: digitare PIN e password con la mano/il braccio liberi da smartwatch o smartband, così da rendere inutile l’eventuale intercettazione.
Facile, no?
