211service.com
Escuchar a escondidas los secretos de los teléfonos inteligentes
A medida que los teléfonos móviles se parecen cada vez más a ordenadores de bolsillo, muchas personas piden un escrutinio más detenido de su seguridad. Estas personas suelen señalar que los teléfonos de hoy en día se parecen mucho a las PC de escritorio de mediados de la década de 1990. Los atacantes pueden aplicar una gran experiencia al atacar equipos de escritorio cuando buscan una forma de acceder a los dispositivos móviles.
Sin embargo, algunos expertos sostienen que los teléfonos móviles son en realidad lo suficientemente simples como para ser vulnerables a los ataques diseñados originalmente para sistemas integrados.
El teléfono es un entorno muy reducido, dice Benjamín Jun , vicepresidente de tecnología en Investigación en criptografía , una empresa de investigación de seguridad con sede en San Francisco, CA. Lo que significa que alguien que está tratando de atacar el dispositivo generalmente lo tiene más fácil, porque no es tan complicado como un sistema de escritorio.
Para demostrar esto, Cryptography Research adaptó un ataque de tarjeta inteligente para su uso contra los teléfonos inteligentes actuales.
Hace aproximadamente una década, la compañía descubrió que una técnica llamada análisis de potencia diferencial permitiría a un atacante extraer las claves criptográficas de una tarjeta inteligente mediante el análisis de sus patrones de consumo de energía. Resulta que, dice Jun, el mismo tipo de análisis revelará las claves criptográficas que usa un teléfono para acceder a la red de un operador o para proteger los datos almacenados en el dispositivo. Por el contrario, un ataque de este tipo sería difícil de realizar en un dispositivo más complicado, simplemente porque una computadora portátil, por ejemplo, ejecutaría más programas al mismo tiempo y produciría mucho más ruido.
El ataque con tarjeta inteligente requería que el atacante estuviera en posesión del objeto, pero, al adaptarlo para teléfonos inteligentes, los investigadores encontraron una manera de hacer los mismos tipos de cálculos basados en señales electromagnéticas filtradas captadas con una antena.
Jun cree que los ataques a dispositivos móviles son particularmente graves porque estos dispositivos se utilizan para acceder a datos corporativos de alto valor.
Pero las malas noticias tienen otra cara. Jun señala que, al igual que los atacantes tienen experiencia en la explotación de vulnerabilidades en sistemas integrados, los fabricantes tienen experiencia en el desarrollo de contramedidas. Debido a que los sistemas integrados tienen una memoria y una potencia de procesamiento aún más limitadas que los dispositivos móviles actuales, cree que estas contramedidas serían relativamente fáciles de traducir a los teléfonos inteligentes.
La pregunta principal es si las protecciones se pueden hacer completamente en software o no, dice Jun. Las soluciones completamente basadas en software serían más baratas de implementar, señala. Sin embargo, las contramedidas de hardware están disponibles y ya se han enviado en millones de tarjetas inteligentes.