Il tocco delle dita sugli smartphone? Si può registrare per rubare le password

“Non fare rumore se non vuoi morire”, diceva il trailer di A quiet place, avvincente film horror della stagione passata.

Il Global Digital Report del 2019 ha mostrato che 4,4 miliardi di persone oggi possiedono un cellulare e oltre la metà di questi dispositivi sono smartphone. Secondo uno studio dalla società Dscout tocchiamo di media il nostro cellulare 2.617 volte al giorno, perché tutta la nostra vita passa attraverso lo smartphone. Ma per molti consumatori i dispositivi cellulari detengono anche i segreti, le password, i codici di accesso ai conti bancari, alle carte di credito, di pagamento, etc.

Più che in passato occorre non fare rumore mentre digitiamo sullo smartphone i nostri dati, se non vogliamo “morire”, cioè perdere tutto. Lo spiega uno studio dei ricercatori dell'Università di Cambridge e della Linköping University in Svezia che ha raccolto dati sugli attacchi tramite software audio. Attraverso un malware, un software malevolo in grado di rubare informazioni sensibili, si può decodificare ciò che una persona sta digitando sul suo telefonino. “Ciò che fa questa applicazione”, spiega l’esperto di Information Security Nicola Vanin “è prendere il controllo del microfono del telefono e usarlo per rilevare le onde sonore generate dal tocco delle dita sugli schermi touch degli smartphone. Un attacco basato sul suono può recuperare password e codici pin, ma può anche raccogliere lettere individuali e, in definitiva, parole intere”.

Parliamo di sistemi molto simili al trojan utilizzato dalla procura della Repubblica di Perugia per intercettare Luca Palamara, l’ex presidente dell’Associazione nazionale magistrati (Anm) e consigliere del Csm, finito indagato per corruzione e in questi giorni sulle prime pagine di tutti i giornali italiani.

Nei casi in oggetto invece gli hacker criminali potrebbero “aprire” il nostro cellulare.

Un vero incubo in grado di accedere passivamente nei nostri dispositivi e sostare lì in modo insospettato a tempo indefinito, registrando 24 ore su 24 tutto ciò che digitiamo. Oggi si può “decodificare il testo non appena l'utente lo inserisce sul suo dispositivo”, scrivono i ricercatori.

Il software spia può essere inserito dai malintenzionati, nel nostro smartphone, tramite un sotterfugio. Infatti l'app di spionaggio potrebbe essere installata dalla vittima stessa, tramite un’applicazione, proposta da un messaggino anonimo, e scaricata, un gioco o un programma qualsiasi, un sms e restare attivo a tempo indefinito perché è davvero difficile individuarla.

Attacchi di questa natura, spiegano i ricercatori dell'Università di Cambridge e della Linköping University di Svezia, non sono molto studiati né sottoposti a grandi contromisure da parte dei sistemi di sicurezza delle aziende produttrici e per questo risultano ancora più pericolosi. Ma “l’attacco acustico” è più che fattibile, racconto.

Esistono però diversi modi per attenuarne l'effetto. E i ricercatori consigliano alcuni accorgimenti da far introdurre alle case produttrici di cellulari. Tra questi “interruttori fisici sui telefoni, in modo che gli utenti possano attivare il microfono manualmente” anche se la “tendenza nei telefoni è stata quella di avere meno pulsanti possibili” oppure inserire un’ illuminazione che segnala ogni volta che il microfono è acceso, ma anche quella di avere applicazioni che introducano falsi suoni di tocco nel dispositivo, per confondere qualsiasi app ostile che è in ascolto.