Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
13 de Noviembre, 2013    General

PIN Skimmer: Uso de Machine Learning para robar el PIN

Me ha llamado mucho la atención de este trabajo llamado PIN Skimmer: Inferring PINs Through the Camera and Microphone hecho por dos investigadores de la Universidad de Cambridge que han sacado ayer en Naked Security, donde se hace uso del micrófono y la cámara frontal de un smartphone para predecir cuál ha sido el PIN que ha sido introducido en el teléfono por medio de los cambios en las imágenes que se capturan y el sonido que se produce al pinchar sobre uno de los números. Un trabajo similar al de obtener el PIN con los cambios en el acelerómetro o usar las vibraciones del teclado para robar las contraseñas de los que las teclean cerca de un smartphone.

Figura 1: Paper sobre PIN Skimmer

La idea es tener un software que pueda tomar fotografías en el momento en que el micrófono detecta el sonido de la pulsación de uno de los números del PIN y después poder analizar esas imágenes para detectar los cambios de orientación que se han producido como consecuencia de la pulsación de un determinado número.

Figura 2: Descripción del proceso completo de funcionamiento del sistema

Hay que tener presente que cada pulsación genera un determinado movimiento de los dedos de la mano y es completamente imposible obtener la misma orientación de la cámara frontal del terminal cuando se pulsan números distintos, mientras que las probabilidades de que exista una orientación más o menos similar cuando se pulsa el mismo número es alta.

Figura 3: Cambios en las capturas de imágenes debido a la orientación del terminal

Además, la distancia entre un número y otro hará que el incremento temporal entre una pulsación y otro sea totalmente distinta. Es decir, si el PIN es 1194, el tiempo que separará la pulsación del primer 1 con el segundo 1, y la distancia temporal que habrá entre el segundo 1 y el número 9, será totalmente distinta, ya que por regla general se pulsarán consecutivamente los dos primeros números y luego se buscará el 9 - lo que llevará más tiempo en regla general -.

Figura 4: Descripción de los movimientos a la hora de introducir el PIN

Este trabajo se basa en tener sistemas que aprendan durante un largo espacio de tiempo, para que luego sean capaces de aprender no solo la pulsación de un número, sino la pulsación de una secuencia en función de las formas en las que lo introducen las personas. También influirá mucho el tipo de terminal que se utilice, pues la manera en la que se sujeta o pulsa un PIN en un dispositivo concreto dependerá de las fisonomías que intervengan.

Lo más sorprendente es que al final demuestran que el aprendizaje hace que utilizar este side-channel sea totalmente válido para descubrir los valores de los PIN con altos grados de probabilidad, lo que podría ser utilizado en muchos otros entornos de seguridad - como los teclados que suenan en muchos sistemas de seguridad -.

Figura 5: Porcentajes de acierto en Nexus S con PINs de diferentes longitudes

No hay que asustarse por que aparezca un nuevo tipo de malware, ya que si un software de espionaje profesional para smartphones se instala en tu smartphone con la capacidad de grabarte con la cámara frontal de vídeo, el micrófono y comunicarse por WiFi para enviar las imágenes capturadas, que averigüen tu PIN con este método es el menor de los problemas, ya que lo que la gente realmente quiere es espiar WhatsApp.

Fuente http://www.elladodelmal.com
Palabras claves , , , ,
publicado por alonsoclaudio a las 19:56 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Julio 2019 Ver mes siguiente
DOLUMAMIJUVISA
123456
78910111213
14151617181920
21222324252627
28293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
423 Comentarios: FERNANDO JAVIER, FERNANDO JAVIER, Fábio, [...] ...
» Bugs de Open Redirect en 22 dominios de Google
2 Comentarios: Alex, Alex
» Keylogging: técnicas y software para robar contraseñas
2 Comentarios: Alex, Alex
» Wassap, la aplicación que permite usar WhatsApp desde la PC
4 Comentarios: jumanji, alex ...
» Unidad Central de Procesamiento CPU
2 Comentarios: Alex ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad