Mobile

WindTalker: o wifi pode revelar as passwords do seu smartphone

9 Comentários

Os problemas das redes sem fios são bem conhecidos. Qualquer dispositivo ligado a uma rede maliciosa pode ser facilmente atacado e os dados roubados.

Mas todos os que julgavam que os problemas estavam apenas nesse nível têm agora um novo desafio. Com recurso apenas ao sinal difundido pelos pontos de acesso, é possível descobrir as passwords dos utilizadores. O WindTalker eleva o perigo das redes sem fios.

WindTalker

As formas de atacar um smartphone têm evoluído ao longo dos anos e são cada vez mais inteligentes e originais. Desde a utilização dos microfones dos dispositivos, para capturar pequenas interferências provocadas pelos teclados, até à leitura dos movimentos dos smartwatches, tudo tem sido provado como possível de ser usado.

Este novo método de ataque que foi agora descoberto, o WindTalker, é extremamente rebuscado e faz uso de pequenas interferências provocadas pelos utilizadores nas redes sem fios quando estão a usar os seus smartphones. Sempre que escrevem no teclado bloqueiam parte do sinal, que quando interpretado pode revelar quais os caracteres que estão a ser escritos.

Não existe ainda uma forma prática de usar este ataque mas, segundo o seu criador Adrian Croyler, com apenas um ponto de acesso e uma rede não segura e controlada pelo atacante é possível realizar o ataque. Requer ainda algum software adicional para determinar o acesso a sites seguros e para extrapolar quais os caracteres introduzidos.

WindTalker

O atacante precisa de saber quando o acesso está a ser feito a determinados sites, mas isso é simples e recorre a padrões já bem conhecidos. Mesmo quando o acesso é feito de forma segura, recorrendo ao HTTPS, existe sempre a possibilidade de determinar o destino, o que garante parte importante da informação.

Nos testes realizados por Adrian Croyler foi possível determinar os dados de acesso a um serviço de pagamentos, o Alipay, e também qual o pin usado para garantir a segurança. Não é um método directo e, por vezes, necessita de alguma calibração inicial, mas os seus resultados são extremamente precisos.

Este novo ataque deita por terra todas as protecções mais conhecidas e que devem ser usadas quando o acesso à Internet é feito via redes sem fios desconhecidas. Mesmo com a utilização de VPNs e outros mecanismos similares as passwords são descobertas uma vez que são “anunciadas” no meio de acesso.

PUB
Autor: Pedro Simões
Partilhar:
Tags:
password pin smartphone wifi WindTalker

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Vamos instalar o Kali Linux 2016.2! A distro que põe tudo a nu
Artigo anterior

Vamos instalar o Kali Linux 2016.2! A distro que põe tudo a nu
Jumper EZbook Air 8350 – há um novo concorrente no mercado
Próximo artigo

Jumper EZbook Air 8350 – há um novo concorrente no mercado
PUB

Comentários

9

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de José Henriques
    José Henriques

    Eu cá tudo o que são pagamentos, acessos bancários, etc, faço sempre em 4G, felizmente cá em Portugal ainda não se iniciou a moda dos falsos pontos 4G que agem como repetidores da torre da operadora. Qualquer dia não estamos seguros em lado nenhum, por isso é que as seguradoras já começam a esfregar as mãos com este tema, transferência de risco para a seguradora e faz-se o que se quer onde se quer quando se quer.

    Responder
  2. Avatar de Miguel Porto
    Miguel Porto

    “Mesmo com a utilização de VPNs e outros mecanismos similares as passwords são descobertas uma vez que são “anunciadas” no meio de acesso.”
    Isto não está bem explicado e pode induzir em erro.

    Responder
    1. Avatar de Aquele
      Aquele

      +1

      Não entendi nada. Mais uma vez tenho que reclamar, pq o pplware apresenta o problema e nunca a solução.

      Responder
      1. Avatar de Esse
        Esse

        No dia que PPLWARE mostrar a solução para isso será mais gênio do que Adrian Croyler.
        Seu comentário não foi muito Feliz!

        Responder
      2. Avatar de Vítor M.
        Vítor M.

        Tantas vezes temos apresentado a solução. Pesquisa sobreviesse assunto e vê tudo o que já falamos.

        Responder
  3. Avatar de MACnista
    MACnista

    .. tá bonito isto tá, qualquer dia até sabem quantas vezes respiras!!!

    Responder
  4. Avatar de ze
    ze

    só tretas! usem o teclado virtual!

    Responder
  5. Avatar de Miguel Porto
    Miguel Porto

    Epá, não resisti:
    http://sabia-que.com/sabe-quantas-vezes-respira-por-dia/

    Responder
  6. Avatar de Joao 2348
    Joao 2348

    No artigo refere como evitar o problema, mas para quem não percebeu:
    – Liguem-se apenas a aparelhos sem fio da vossa confiança, que estejam actualizados e protegidos por uma senha diferente da de fábrica.
    – Quanto a aparelhos sem fio que não são de confiança, a única forma de derrotar este tipo de ataque é com um teclado virtual que mude a posição das letras com frequência para não conseguir reconhecer onde se carregou pela interferência provocada no sinal wi-fi.

    Vale ainda lembrar que mesmo na melhor das hipóteses de momento a probabilidade de sucesso ronda os 48%… mas os ataques nunca se tornam piores, pelo que é possível que no futuro a taxa de sucesso aumente ainda mais.

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.