I sensi degli smartphone possono essere usati per carpirci le password

Leggi questo articolo grazie alle donazioni di Marco Moretti, Mauro Fabbri.
♥ Partecipa anche tu alle donazioni: sostieni SaggiaMente, sostieni le tue passioni!

Ci ascoltano. Ci guardano. Ci seguono dovunque andiamo. Gli smartphone hanno ormai moltissimi sensi, ma cosa succederebbe se li usassero contro di noi? Una ricerca dell’università di Newcastle, avviata lo scorso anno ma venuta solo nelle scorse ore alla ribalta su vari siti, tra cui la BBC, dimostra che il nutrito parco sensori dei nostri dispositivi può essere sfruttato a vantaggio di malintenzionati.

Il problema principale risiederebbe paradossalmente negli standard web utilizzati da tutti i browser mobili: le specifiche W3C consentono infatti a pagine web comprensive di codice JavaScript di accedere ai dati raccolti da accelerometro, giroscopio, bussola e altri (si parla di ben 25 componenti diversi), senza necessità di richiedere all’utente il consenso esplicito per il trasferimento delle informazioni. Abbinando questa raccolta a tecniche di machine learning per distinguere le varie azioni compiute dall’utente, è possibile risalire a svariati dati personali, incluse le password digitate e i PIN di accesso. La dottoressa Maryam Mehrnezhad, che ha fornito un contributo prevalente alla ricerca, afferma come sia stato possibile per il suo team ricavare al primo tentativo codici di sblocco schermo a 4 cifre per i dispositivi Android già nel 70% dei casi; il successo completo arriva invece entro i 5 tentativi. A proposito di blocco: queste attività di raccolta possono avvenire anche quando il dispositivo non è in uso, se si è lasciato aperto il browser in background.

Una situazione critica, che va affrontata direttamente dal W3C e dalle aziende di software: interpellate a riguardo, tanto nel 2016 quanto oggi non hanno fornito risposte convincenti sulla prossima risoluzione del problema, cui in generale non è mai stata data molta importanza. L’opinione prevalente, infatti, era che bastava ridurre per le soluzioni JavaScript la frequenza dei rilevamenti tramite sensori per prevenire scenari simili. La notizia incoraggiante è che i browser non hanno un comportamento uniforme tra loro e se si sta sui nomi principali (Chrome, Firefox, Opera, Safari) i rischi sono minori, per quanto purtroppo non inesistenti. Le maggiori grane si segnalano nell’uso di browser di provenienza orientale, come UC o Baidu. Il consiglio che viene dato agli utenti in attesa di una soluzione definitiva è quello di entrare nel task switcher del proprio dispositivo e rimuovere col gesto di scorrimento il browser dalle app attive una volta terminato il suo impiego.

AGGIORNAMENTO: 9to5Mac riporta che Apple ha già apportato correzioni lo scorso anno con iOS 9.3.

Giovanni "il Razziatore"

Deputy - Ho a che fare con i computer da quando avevo 7 anni. Uso quotidianamente OS X dal 2011, ma non ho abbandonato Windows. Su mobile Android come principale e iOS su iPad. Scrivo su quasi tutto ciò che riguarda la tecnologia.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.