Adivinar la contraseña de la pantalla táctil mediante el rastreo de huellas dactilares

Esto se conoce como 'Smudge Attack'

Realmente depende de cuánto haya usado su teléfono desde la última vez que lo desbloqueó, pero el principio general sigue vigente. Si utiliza la función de patrón de los teléfonos Android, esto puede ser particularmente obvio.

La Universidad de Pennsylvania publicó un documento de investigación sobre el tema y básicamente concluyó que Podrían averiguar la contraseña más del 90 por ciento del tiempo.

El estudio también encontró que las "manchas de patrones", que se acumulan a partir de la escritura de la misma contraseña varias veces, son particularmente reconocibles.

Además:

  

“Demostramos que en muchas situaciones la recuperación total o parcial del patrón es   posible, incluso con el "ruido" manchado del uso simulado de la aplicación o   distorsión causada por el contacto accidental con la ropa, "

Si bien este es un riesgo plausible, no es una vulnerabilidad particularmente práctica ya que un atacante necesita acceso físico a su teléfono. El uso de un código PIN sobre un patrón puede reducir la posibilidad de que presente una amenaza, pero aún existe dependiendo de la fuerza de su PIN y la limpieza de sus manos / pantalla. Sin embargo, estos mismos investigadores postulan otro posible ataque utilizando el residuo de calor dejado por el contacto entre los dedos y la pantalla, lo cual sería otro problema.

Obviamente, limpiar tu pantalla después de cada uso es una defensa práctica (y no demasiado difícil) contra este ataque específico. Supongo que si ha utilizado su teléfono (por ejemplo, para hacer llamadas / enviar un mensaje / cualquier tipo de navegación web) también podría ofuscar los patrones / códigos. De examinar mi pantalla este parece ser el caso.

Una forma de mitigar los ataques de manchas en teléfonos inteligentes es con una aplicación llamada WhisperCore . Ordena los números verticalmente y luego te pide que limpies la pantalla para desbloquear el teléfono, ocultando las manchas originales.

Siusaunpatrónparabloquearsuteléfono,despuésdeingresarelpatróncorrecto,apareceráunapantallallenadeestrellas.Deslizalasestrellasresaltadasparadesbloquearelteléfono,nuevamenteofuscandoelpatróndemanchaoriginal.

Por supuesto, la aplicación básicamente funciona como un recordatorio obligatorio para limpiar tu pantalla, pero lo hace de una manera que hace que sea menos molesto limpiar tu pantalla cada vez que desbloqueas tu teléfono.

Fuente de la imagen: Policía de Android

Hubo un documento (lo intentará y lo encontrará) que dio una muy buena explicación de una mejora de seguridad:

Utilizar uno de los dígitos al menos dos veces, con un código de acceso de más de 4 dígitos

Básicamente, la opción "deslizar un patrón" es muy fácil de ver, incluso a una distancia se puede navegar por el hombro. Eche un vistazo a este documento para obtener información interesante sobre técnicas.

Un pin de 4 dígitos es lo que la mayoría de los usuarios terminan eligiendo, si usan la opción de pin, así es lo que intentarán la mayoría de los atacantes, y sostener el teléfono a la luz le permite ver el pin con bastante claridad. Sin embargo, si tiene un pin de 6 dígitos en el que dos de los dígitos se usan dos veces, el espacio de ataque se vuelve bastante desafiante, ya que el atacante no sabe si usa un pin de 4 dígitos, un 5 o incluso más; es probable que comiencen con un 4 y es más probable que bloquee el teléfono en lugar de entrar en él.

Esta sería una buena razón para otro método de desbloqueo que hizo que la acción de desbloqueo fuera diferente cada vez. Por ejemplo, en lugar de los números 0-9 que se presentan como:

7 8 9
4 5 6
1 2 3
  0

puede mostrarlos como:

3 5 7
1 2 4
6 9 0
  8

En lugar de números, podrías usar formas. En lugar de solo golpear las formas o los números, puede reorganizarlos en el patrón correcto, aunque eso sería menos seguro ya que estaría mostrando el patrón correcto inmediatamente antes de que se desbloquee; Sin embargo, si el objetivo fuera colocar los números en la matriz en un orden en el que las sumas, etc. de ciertas filas fueran correctas, eso podría ser aún más seguro / menos obvio para aquellos que lo vieron o registraron al realizar la secuencia de desbloqueo.

Posiblemente para las personas con discapacidad visual, podría leer los números en voz alta (a través de sus auriculares). Para aquellos que tienen problemas visuales y problemas de audición, el teléfono podría vibrar de cierta manera cuando tocan diferentes partes del teléfono para determinar qué número es cuál, luego tocan algo una vez que saben qué número es dónde ingresar el código. También puede hacer que bloquee los números en una cierta orientación y solo cambie en un horario predeterminado para que sea menos difícil tener que recordar la nueva orientación, o incluso bloquearla por completo, aunque eso sea susceptible de un ataque de manchas.

Por mi parte, siempre he limpiado mi pantalla con mi camisa después de desbloquearla específicamente debido a esto (y porque encuentro molestas las marcas de deslizamiento). Pero sí, esto es un gran riesgo si lo desbloqueas y no lo haces. al menos continúe usándolo por un tiempo para desordenar las marcas.

Un código PIN puede ayudar, pero es posible que aún puedas ver los puntos tocados, lo que reduciría enormemente la complejidad de adivinar la contraseña. Todavía es una buena idea limpiar la pantalla si hay marcas visibles.

Otro buen contador para esto sería si agregaran un segundo paso rápido para rastrear otro patrón que haría más difícil reconocer el patrón antes de desbloquear.

He limpiado mi pantalla cada vez que la enciendo durante bastante tiempo. Es en parte debido a este problema y en parte para aumentar la legibilidad en presencia de deslumbramiento. Me interesó mucho descubrir que hay investigaciones reales sobre el tema.

Si bien las pantallas táctiles son especialmente propensas al problema de los residuos físicos que revelan información secreta (a pesar de las mejoras que se han realizado en los recubrimientos de pantallas oleófobas), el problema también puede ocurrir con otros métodos de entrada . Las huellas digitales pueden ser visibles en la superficie de los botones (hardware), interruptores o teclados, incluso sin el uso de equipo especializado.

Sin embargo, incluso si se borran, hay un problema más permanente. Estoy seguro de que todos hemos visto texto que se ha borrado, superposición de la membrana que se ha roto o placas que se están desgastando en un botón de uso frecuente:

En un contexto de seguridad, este tipo de problema probablemente signifique que la contraseña no se cambia con la frecuencia suficiente, pero he visto ejemplos reales de ella. Obviamente, es necesario cambiarlo antes de que esta degradación sea visible a simple vista. Sin embargo, en configuraciones de seguridad más altas, eso probablemente no sea suficiente. Dos posibles soluciones son usar botones muy duraderos y nivelar la cantidad de pulsaciones de cada botón antes o después de ingresar la contraseña.

Utilizo los diez dígitos exactamente una vez en un pin de diez dígitos en mi tableta, en lugar de un patrón. Tampoco tengo nada de valor particular en mi tableta (la única razón por la que la contraseña está ahí, ya que es obligatorio un PIN para guardar los detalles de configuración de VPN en Android, sin incluir mi contraseña de usuario).

Nota: usar una permutación de los diez dígitos exactamente una vez reduce significativamente la entropía. El # de permutaciones: 10! = 3 628 800, que es aproximadamente equivalente a un pin de 6.56 caracteres de longitud, o aproximadamente 3000 veces más fácil que un pin aleatorio de 10 dígitos.

Además, creo que es bastante fácil escuchar un PIN en un panel táctil cuando uso mi tableta en un metro, pero creo que esta es una defensa razonable contra los ataques de manchas.