Rsa: su teléfono inteligente almacena cada pulsación de tecla que escribió

Hay una aplicación que puede grabar cada pulsación de tecla que haya escrito en su teléfono inteligente, incluso un iPhone. No es un troyano siniestro, ni un keylogger malvado. Es simplemente la base de datos que utiliza el teléfono para proporcionar resultados de Autocompletar. No puede profundizar y ver las pulsaciones de teclas usted mismo, pero en el proveedor de seguridad de la Conferencia de RSA, StrikeForce Technologies demostró que el software externo puede leer esa base de datos y así leer cada texto o correo electrónico que ha enviado y, lo que es más importante, cada contraseña que He escrito.

StrikeForce crea la herramienta anti-keylogger GuardedID para PC. En la conferencia anunciarán MobileTrust, una solución similar para todos los dispositivos móviles Apple y Android. Al igual que con GuardedID, MobileTrust cifra la comunicación entre el teclado y sus aplicaciones sensibles. No hay pulsaciones de teclas en la base de datos de Autocompletar, por lo que sus secretos están a salvo.

MobileTrust se encuentra actualmente en versión beta, y se espera su lanzamiento en uno o dos meses. Hace bastante más que simplemente encriptar las pulsaciones de teclas. Es una bóveda de contraseñas a gran escala que almacena todos los datos en una base de datos cifrada AES-256. Generará contraseñas seguras y contraseñas de un solo uso. Las empresas estarán encantadas de poder generar tokens de software totalmente compatibles con OATH.

Ram Pemmaraju, director de tecnología de StrikeForce, dijo: "Si sabe dónde buscar, es bastante fácil tomarlo. Una aplicación no autorizada podría acceder a la base de datos de pulsaciones de teclas". Señaló que, si bien puede eliminar las pulsaciones de teclas almacenadas en caché de su iPhone, la mayoría de los usuarios no saben cómo, y tendría que hacerlo una y otra vez.

¿Por qué no incorporado?

"La verdad es que si los fabricantes de PC y dispositivos móviles integraran el cifrado de pulsaciones de teclas en sus dispositivos, ahorrarían a sus clientes miles de millones de dólares", dijo Mark Kay, CEO de StrikeForce Technologies. "Si HP, Dell, Lenovo, Samsung, Sony, Apple o cualquier otro fabricante grande encriptaran teclas incrustadas en sus sistemas, la informática y las comunicaciones serían un 90% más seguras para todos nosotros".

Entonces, ¿por qué no incorporan esa protección? George Waller, vicepresidente ejecutivo y cofundador de StrikeForce, explicó que lo han intentado. "Tratas de llegar a estos tipos", dijo Waller, "pero son tan grandes. Muchas de las compañías, simplemente no sabes a dónde ir". Waller señaló que ir a los fabricantes de sistemas MDM (Mobile Device Management) puede tener más sentido.

¿Qué es malicioso?

Pemmaraju señaló que el análisis antivirus tradicional simplemente no funciona en dispositivos móviles, especialmente en iPhones. "El modelo de tratar de interceptar aplicaciones y determinar si son maliciosas simplemente no funciona", dijo. "Los antivirus para la plataforma móvil son realmente falsos, un error. Incluso en la tienda de aplicaciones de iPhone puede haber aplicaciones falsas". Señaló que el simple acto de leer la base de datos de personajes podría no ser detectado como malicioso, porque "¡estos tipos son inteligentes!"

En aproximadamente un mes podrás descargar MobileTrust de forma gratuita desde la tienda de Android o Apple.

Para ver todas las publicaciones de nuestra cobertura RSA, consulte nuestra página Mostrar informes.