Investigadores descubren una vulnerabilidad de seguridad de hardware en teléfonos Android

¿Tu smartphone podría estar espiándote?

Esperemos que no, y si es así, no por mucho tiempo, gracias a un equipo de investigadores de la Escuela de Ingeniería Swanson de la Universidad de Pittsburgh.

Su estudio reciente descubrió que la Unidad de procesamiento de gráficos (GPU) en algunos teléfonos inteligentes Android podría usarse para espiar las credenciales de un usuario cuando el usuario escribe estas credenciales usando el teclado en pantalla del teléfono inteligente, lo que lo convierte en un objetivo efectivo para la piratería. Esta vulnerabilidad de seguridad del hardware expone una amenaza mucho más grave para los datos personales confidenciales del usuario, en comparación con los ataques anteriores que solo pueden inferir las actividades generales del usuario, como el sitio web que visita o la longitud de la contraseña que ingresa.

«Nuestros experimentos muestran que nuestro ataque puede inferir correctamente las entradas de credenciales de un usuario, como su nombre de usuario y contraseña, sin requerir ningún privilegio del sistema ni causar ningún cambio notable en las operaciones o el rendimiento del dispositivo. Los usuarios no podrían saber cuándo está sucediendo. ”, dijo Wei Gao, profesor asociado de ingeniería eléctrica e informática, cuyo laboratorio dirigió el estudio. «Era importante que los fabricantes supieran que el teléfono es vulnerable a las escuchas para que puedan realizar cambios en el hardware».

La GPU de un teléfono procesa todas las imágenes que aparecen en la pantalla, incluidas las animaciones emergentes cuando se presiona una letra del teclado en pantalla. Los investigadores pudieron inferir correctamente qué letras o números se presionaron más del 80 por ciento de las veces, basándose únicamente en cómo la GPU produce las animaciones de teclado mostradas.

«Si alguien se aprovechara de esta debilidad, podría crear una aplicación benigna, como un juego u otra aplicación, e incrustar un código malicioso que se ejecutaría silenciosamente en segundo plano después de instalarlo», dijo Gao. «Nuestra versión experimental de este ataque podría apuntar con éxito a nombres de usuario y contraseñas que se ingresan en aplicaciones y sitios web de banca en línea, inversión e informes crediticios, y hemos demostrado que los códigos maliciosos incrustados en la aplicación no pueden ser detectados correctamente por Google Play Store. »

Los investigadores centraron sus experimentos en la GPU Qualcomm Adreno, pero este método también podría usarse para otras GPU. El equipo informó sus hallazgos a Google y Qualcomm, y Google confirmó que lanzarán una actualización de seguridad de Android a finales de este año para abordar la inquietud.

Boyuan Yang, Ruirong Chen, Kai Huang, Jun Yang y Wei Gao escribieron en conjunto el documento, «Escuchar las credenciales de los usuarios a través de los canales laterales de la GPU en los teléfonos inteligentes». Fue presentado en la Conferencia ASPLOS, celebrada del 28 de febrero al 4 de marzo de 2022 en Lausana, Suiza.