I sensori di movimento dello smartphone potrebbero diventare complici involontari di cybercriminali interessati a spiarci. Un nuovo allarme su possibili violazioni di privacy e furto di dati giunge dal Regno Unito e più precisamente da un gruppo di ricercatori dell' Università di Newcastle, che hanno dimostrato come dai movimenti registrati dai telefoni cellulari un malintenzionato potrebbe facilmente risalire al Pin di blocco e sblocco del dispositivo e ad altre informazioni riservate. In poche mosse: un buon 70% di possibilità di successo è già racchiuso nel primo tentativo, mentre entro il quinto si può ottenere con totale accuratezza il tracciamento del codice di blocco.
Il meccanismo è presto spiegato. Gps, chip Nfc, gisocopi, accelerometri, sensori di prossimità e di rotazione, oltre a fotocamera e microfono, sono un corredo ormai quasi immancabile a bordo della maggior parte degli smartphone (e su tutti quelli di fascia media e alta), in quanto servono al sistema operativo, all'interfaccia e alle singole applicazioni per attivare specifiche funzioni. Azioni come il tap sullo schermo, lo scrolling, la rotazione dell'oggetto lasciano una traccia e possono essere intercettate un po' come succedere su un Pc utilizzando un keylogger che rileva ciò che viene digitato sulla tastiera.
Il potenziale rischio, ha spiegato la ricercatrice e principale autrice dello studio Maryam Mehrnezhad, sta nel fatto che le app e i siti Internet solitamente non hanno bisogno di richiedere autorizzazioni dell'utente per accedere alla maggior parte di questi componenti. Più precisamente, l'indagine ha identificato 25 tipi di sensore abilitati alla raccolta di dati, riscontrando come solo la fotocamera e il Gps siano solitamente vincolati a richiedere il permesso di accesso a diversi componenti fisici o cartelle di file del dispositivo mobile.
E quindi, scrive la ricercatrice, “i programmi malevoli possono segretamente 'ascoltare' i dati raccolti dai sensori e sfruttarli per scoprire un'ampia gamma di informazioni sensibili su di voi, come per esempio l'orario di una telefonata, l'attività fisica e addirittura le interazioni sullo schermo touch, i codici Pin e le password”.
Chiaramente, affinché questo meccanismo possa attivarsi è necessario che sul telefono sia stata installata un'applicazione malevola oppure che sia stato visitato un sito contenente un'infezione. Nonostante questa condizione parzialmente rassicurante, i ricercatori dell'università britannica sottolineano alcuni rischi concreti. “Su alcuni browser”, si legge nello studio, “abbiamo scoperto che aprendo su smartphone o tablet una pagina contenenete codice malevolo e poi aprendo, per esempio, un account di online banking senza aver chiuso la precedente scheda di navigazione, si permette di spiare ogni singolo dettaglio inserito”. E non è tutto: un'eventualità ancora peggiore è quella che i criminali possano continuare a spiare dati e movimenti dell'utente anche quando il telefono risulta bloccato.
A riprova delle proprie ipotesi, i ricercatori hanno condotto alcuni test dopo aver istruito alcune reti neurali articificiali con dati raccolti dagli smartphone di utenti reali (con il Pin di blocco attivato). Un exploit basato su Javascript è poi stato usato per accedere ai dispositivi e poi, una volta ottenuto un click sul collegamento al malware, quest'ultimo ha cominciato a raccogliere dati dai sensori.
Non è la prima volta che elementi hardware dei dispositivi mobili vengono additati come potenziali, ancorché involontari, complici dei criminali informatici. Due anni fa aveva fatto scalpore il caso di Swiftkey, una popolare applicazione di tastiera virtuale per Android e iOS, su cui erano state scoperte vulnerabilità in grado di dare accesso alla fotocamera e al microfono del telefono. Paradossalmente – sottolinea lo studio dell'Università di Newcastle – gli utenti sembrano molto più preoccupati dei rischi di spionaggio attraverso il Gps e la fotocamera e molto meno di quelli legati ai “sensori silenti”. I più pericolosi.