Quattro ricercatori dell’Università di Newcastle hanno trovato un modo per permettere a codici maligni contenuti in pagine web di accedere a PIN e password del telefono. Si tratta di uno studio a scopo dimostrativo per acclarare una vulnerabilità cui porre prontamente riparo dal momento che aprirebbe ai malintenzionati la porta principale del device dove riponiamo ormai buona parte della nostra vita privata e non.
Secondo la dimostrazione, un volta che l’utente interagisce con un sito ipoteticamente controllato da un hacker, il codice JavaScript incorporato nella pagina web inizia ad “ascoltare” i sensori di movimento e di orientamento installati nello smartphone, ovviamente senza notificazione o richiesta di consenso dell’utente dal momento che molti browser vi accedono di default in assenza di dinieghi nelle impostazioni o implementazione di contromisure. Analizzando questi flussi, il codice malevolo deduce il PIN dell’utente utilizzando una rete neurale artificiale.
Il test su PIN da 4 cifre ha rivelato che il sistema le indovina al primo colpo nel 74% dei casi che diventa il 94% al terzo colpo: una media impressionante.
