Home Notizie recenti I ricercatori scoprono una vulnerabilità di sicurezza hardware sui telefoni Android

I ricercatori scoprono una vulnerabilità di sicurezza hardware sui telefoni Android

145
0

Credito: Unsplash/CC0 di dominio pubblico

Il tuo smartphone potrebbe spiarti?

Si spera di no, e in tal caso, non per molto, grazie a un team di ricercatori dell’Università di Pittsburgh Swanson School of Engineering.

Il loro recente studio ha scoperto che l’unità di elaborazione grafica (GPU) in alcuni smartphone Android potrebbe essere utilizzata per intercettare le credenziali di un utente quando l’utente digita queste credenziali utilizzando la tastiera su schermo dello smartphone, rendendolo un bersaglio efficace per l’hacking. Questa vulnerabilità della sicurezza hardware espone una minaccia molto più grave ai dati personali sensibili dell’utente, rispetto ai precedenti attacchi che possono solo dedurre le attività grossolane dell’utente, come il sito Web visitato o la lunghezza della password digitata.

“I nostri esperimenti mostrano che il nostro attacco può dedurre correttamente gli input delle credenziali di un utente, come il nome utente e la password, senza richiedere alcun privilegio di sistema o causare cambiamenti evidenti nelle operazioni o nelle prestazioni del dispositivo. Gli utenti non sarebbero in grado di dire quando sta accadendo “, ha affermato Wei Gao, professore associato di ingegneria elettrica e informatica, il cui laboratorio ha guidato lo studio. “Era importante far sapere ai produttori che il telefono è vulnerabile alle intercettazioni in modo che possano apportare modifiche all’hardware”.

La GPU di un telefono elabora tutte le immagini che appaiono sullo schermo, comprese le animazioni pop-up quando viene premuta una lettera della tastiera su schermo. I ricercatori sono stati in grado di dedurre correttamente quali lettere o numeri sono stati premuti più dell’80% delle volte, basandosi solo su come la GPU produce le animazioni della tastiera visualizzate.

“Se qualcuno dovesse trarre vantaggio da questa debolezza, potrebbe creare un’applicazione benigna, come un gioco o un’altra app, e incorporarvi codice dannoso che verrebbe eseguito silenziosamente in background dopo l’installazione”, ha affermato Gao. “La nostra versione sperimentale di questo attacco potrebbe mirare con successo a nomi utente e password inseriti in app e siti Web di banking online, investimenti e rapporti di credito e abbiamo dimostrato che i codici dannosi incorporati nell’app non possono essere rilevati correttamente dal Google Play Store. ”

I ricercatori hanno concentrato i loro esperimenti sulla GPU Qualcomm Adreno, ma questo metodo potrebbe essere potenzialmente utilizzato anche per altre GPU. Il team ha riferito i propri risultati a Google e Qualcomm e Google ha confermato che rilascerà un aggiornamento di sicurezza Android entro la fine dell’anno per affrontare il problema.

Il documento, “Intercettare le credenziali dell’utente tramite i canali laterali della GPU sugli smartphone”, è stato coautore di Boyuan Yang, Ruirong Chen, Kai Huang, Jun Yang e Wei Gao. È stato presentato alla conferenza ASPLOS, tenutasi il 12 febbraio. 28 fino al 4 marzo 2022, a Losanna, Svizzera.


Articolo precedenteNello studio sulla sicurezza alimentare, il 25% dei partecipanti ha contaminato l’insalata con pollo crudo
Articolo successivoElon Musk acquista una grossa partecipazione in Twitter, facendo salire le azioni alle stelle