Una abrumadora mayoría de dispositivos portátiles hoy en día tienen sensores de luz ambiental integrados. Un gran porcentaje de televisores y monitores también lo hacen, y esa proporción está creciendo. Los sensores permiten que los dispositivos ajusten automáticamente el brillo de la pantalla en función de qué tan claro u oscuro sea el entorno. Esto, a su vez, reduce la fatiga visual y mejora el consumo de energía.
Nueva investigación revela que los sensores de luz ambiental integrados pueden, bajo ciertas condiciones, permitir a los operadores de sitios web, creadores de aplicaciones y otros husmear en acciones de los usuarios que hasta ahora se suponían privadas. Un ataque de prueba de concepto que surge de la investigación, por ejemplo, puede determinar qué gestos táctiles realiza un usuario en la pantalla. Se pueden determinar gestos que incluyen deslizamientos con un dedo, desplazamientos con dos dedos, pellizcos con tres dedos, deslizamientos con cuatro dedos y rotaciones con cinco dedos. A medida que mejoren las resoluciones de pantalla y los sensores, es probable que el ataque mejore.
Sensores siempre activos, no se requieren permisos
Hay muchas limitaciones que impiden que el ataque tal como existe ahora sea práctico o represente una amenaza inmediata. Las mayores restricciones: funciona solo en dispositivos con una pantalla grande, en entornos sin luz ambiental brillante y cuando la pantalla muestra ciertos tipos de contenido que el atacante conoce. La técnica tampoco puede revelar la identidad de las personas que se encuentran frente a la pantalla. Los investigadores, del Instituto de Tecnología de Massachusetts, reconocen fácilmente estas limitaciones, pero dicen que es importante que los fabricantes de dispositivos y los usuarios finales sean conscientes de la amenaza potencial en el futuro.
«Nuestro objetivo es concienciar al público y sugerir que se pueden tomar medidas simples de software para hacer que los sensores de luz ambiental sean más seguros, es decir, restringir el permiso y la tasa de información de los sensores de luz ambiental». Yang Liu, estudiante de doctorado de quinto año y autor principal del estudio, escribió en un correo electrónico. “Además, queremos advertir a la gente sobre el riesgo potencial para la privacidad y la seguridad de la combinación de componentes pasivos (sensores) y activos (pantalla) de los dispositivos inteligentes modernos, ya que se están volviendo ‘más inteligentes’ con más sensores. La tendencia de la electrónica de consumo a buscar pantallas más grandes y brillantes también puede impactar el panorama al llevar la amenaza a la privacidad de las imágenes hacia la zona de advertencia”.
Existe una gran cantidad de ataques que utilizan sensores en teléfonos y otros dispositivos como canal lateral que pueden filtrar detalles privados sobre las personas que los utilizan. Un ataque ideado por investigadores en 2013, por ejemplo, utilizaba la cámara de vídeo integrada y el micrófono de un teléfono para adivinar con precisión los PIN introducidos. Investigación de 2019 mostró cómo monitorear la salida del acelerómetro y giroscopio de un dispositivo también puede llevar a adivinar con precisión los PIN ingresados. La investigación de 2015 utilizó acelerómetros para detectar actividad del habla y correlacionarlo con el estado de ánimo. Y un ataque presentado en 2020 muestra cómo los acelerómetros pueden reconocer el habla y reconstruir las señales de audio correspondientes.
Exacerbando el riesgo potencial: los datos de este sensor siempre están activados y ni Android ni iOS limitan los permisos necesarios para acceder a ellos. Los usuarios finales se quedan con pocos recursos efectivos, si es que tienen alguno.
Los investigadores del MIT añaden a este corpus existente una técnica de escucha que puede capturar imágenes aproximadas de objetos o eventos que tienen lugar directamente frente a la pantalla del dispositivo. El dispositivo utilizado en los experimentos fue un Samsung Galaxy View2, una tableta que funciona con Android. Los investigadores lo eligieron por su gran pantalla (17,3 pulgadas). En las condiciones actuales, se necesitan pantallas grandes para que el ataque funcione porque proporcionan la gran cantidad de brillo necesaria. El Galaxy View2 también proporcionó un fácil acceso al sensor de luz. Liu, investigador del MIT, dijo que los dispositivos iOS y los televisores con sensores de luz integrados de una gran cantidad de fabricantes también son probablemente vulnerables.