Rsa: o seu smartphone armazena todas as teclas que você digitou

Há um aplicativo que pode gravar todas as teclas digitadas em seu smartphone, até mesmo um iPhone. Não é um Trojan sinistro ou um keylogger malvado. É simplesmente o banco de dados que o telefone utiliza para fornecer resultados de AutoCompletar. Você não pode digitar e ver as teclas, mas no fornecedor de segurança da RSA Conference, StrikeForce Technologies, demonstrou que o software externo pode ler novamente esse banco de dados e, assim, ler todo texto ou e-mail enviado e, mais importante, toda senha que você digitei.

O StrikeForce cria a ferramenta anti-keylogger GuardedID para PCs. Na conferência, eles estão anunciando o MobileTrust, uma solução semelhante para todos os dispositivos móveis Apple e Android. Como no GuardedID, o MobileTrust criptografa a comunicação entre o teclado e seus aplicativos confidenciais. Nenhum pressionamento de tecla entra no banco de dados AutoCompletar, portanto, seus segredos estão seguros.

O MobileTrust está atualmente na versão beta, com lançamento esperado em um ou dois meses. Faz um pouco mais do que apenas criptografar as teclas digitadas. É um cofre de senhas em grande escala que armazena todos os dados em um banco de dados criptografado AES-256. Gerará senhas fortes e senhas únicas. Os negócios terão prazer em poder gerar tokens flexíveis totalmente compatíveis com OATH.

Ram Pemmaraju, CTO do StrikeForce, disse: "Se você sabe onde procurar, é bastante fácil pegá-lo. Um aplicativo não autorizado pode acessar o banco de dados de pressionamentos de tecla". Ele ressaltou que, embora você possa excluir as teclas em cache do seu iPhone, a maioria dos usuários não sabe como, e você teria que fazer isso repetidamente.

Por que não embutido?

"A verdade é que, se os fabricantes de PC e dispositivos móveis integrassem a criptografia por pressionamento de tecla em seus dispositivos, economizariam bilhões de dólares para seus clientes", disse Mark Kay, CEO da StrikeForce Technologies. "Se a HP, Dell, Lenovo, Samsung, Sony, Apple ou qualquer criptografia de pressionamento de tecla incorporada de fabricação grande em seus sistemas, isso tornaria a computação e as comunicações 90% mais seguras para todos nós".

Então, por que eles não constroem nessa proteção? George Waller, vice-presidente executivo e co-fundador da StrikeForce, explicou que eles tentaram. "Você tenta chegar a esses caras", disse Waller, "mas eles são tão grandes. Muitas empresas, você simplesmente não sabe para onde ir". Waller observou que ir aos fabricantes de sistemas MDM (Mobile Device Management) pode fazer mais sentido.

O que é malicioso?

Pemmaraju apontou que a verificação antivírus tradicional simplesmente não funciona em dispositivos móveis, especialmente em iPhones. "O modelo de tentar interceptar aplicativos e determinar se eles são maliciosos simplesmente não funciona", disse ele. "Os antivírus para a plataforma móvel são realmente falsos, um clamor. Mesmo na loja de aplicativos para iPhone, pode haver aplicativos não autorizados". Ele observou que o simples ato de ler o banco de dados de personagens pode não ser detectado como malicioso, porque "esses caras são espertos!"

Dentro de um mês, você poderá baixar o MobileTrust gratuitamente na loja Android ou Apple.

Para ver todas as postagens de nossa cobertura da RSA, consulte a página Mostrar relatórios.