Un equipo de investigadores informó que en algunos teléfonos de gama baja es posible diferenciar los valores de los bits por la intensidad de la señal. Solo se necesita un sensor de ondas de radio a unos centímetros del dispositivo.
Las vulnerabilidades en los dispositivos electrónicos parecen no tener fin, siempre hay algo más para descubrir. Sin embargo algunas de ellas son más notables, sea por el peligro involucrado o por su naturaleza.
Un grupo de investigadores de la Universidad Tecnológica de Georgia ha presentado un documento en el que detalla los problemas de ciertos dispositivos de gama baja. Un defecto en el diseño permitiría robar los datos sin acceder al teléfono de forma física o a través de una red inalámbrica.
Los ataques utilizando la técnica evaluada fueron exitosos en un ZTE Zfive y un Alcatel Ideal.
Mecanismo Para realizar este robo de datos es necesario ubicar un sensor de ondas de radio a unos centímetros del dispositivo objetivo. La idea es captar las débiles ondas de radio que emite el procesador del teléfono. Si esta operación se realiza cuando se efectúa una transacción web segura el atacante tendrá la posibilidad de deducir la clave utilizada para el encriptado de los datos.
Esto sucede porque una operación del procesador tiende a producir una señal levemente más fuerte cuando un bit tiene un valor de 1 y más débil cuando es 0.
Milos Prvulovic, profesor en Georgia y coautor de la presentación señala al respecto: “¿Cuantas veces has puesto tu teléfono en un escritorio en un aeropuerto y no te has molestado en ver que había debajo?”
Buenas y malas noticias La mala noticia es que en teoría esta técnica podría llegar a funcionar en dispositivos de gama media y alta, si algún grupo criminal encuentra la técnica adecuada sería una amenaza a tener en cuenta.
La buena noticia es que los investigadores ya han encontrado una manera de evitar este tipo de ataques. Simplemente se modificó el algoritmo del proceso para que la fuerza de la señal fuera la misma en ambos casos. Los fabricantes fueron avisados de la vulnerabilidad antes de publicar el informe.