EDUCACIÓN - Portal de Educación de la Comunidad de Madrid.


Noticias


Noticias

  • Imprimir PaginaImprimir Pagina

volver

14/09/2017

Espiando en Chrome a través de canales laterales

Espiando en Chrome a través de canales laterales
SE PUEDE AVERIGUAR QUE SE ESTÁ TECLEANDO

El uso de las tecnologías de la información en todos los aspectos de la vida diaria trae muchas e innumerables ventajas, de las que muchas veces ni siquiera somos conscientes al haberse convertido en parte indispensable de nuestras vidas. De igual modo también puede traer peligros, que en algunos casos son poco conocidos o pasan desapercibidos. Por ejemplo: el almacenar datos en la nube nos abre nuevas posibilidades de acceso más universal y sencillo, pero también permite que hackers maliciosos o empresas sin escrúpulos se apoderen de ellos.

Menos conocidos, pero igualmente relevantes, son los ataques a la privacidad de las personas: conocer hábitos, datos que se acceden habitualmente, costumbres, etc. que pueden revelar aspectos de la vida que podrían usarse en nuestra contra o para aprovecharse de nosotros, quizá ilícitamente, de nosotros. Muchos de estos se basan en los llamados canales laterales, que aprovechan fugas de información. Por ejemplo, cada tecla de un teclado puede tener un sonido ligeramente distinto que las otras, por la posición de la tecla y por la fuerza del dedo con el que habitualmente se pulsa. Espiando ese sonido se puede, con cierta precisión, averiguar qué está tecleando un usuario.

También es posible que unos programas espíen a otros dentro del ordenador y averigüen qué hacen, sin acceder a los datos de los espiados, sino sencillamente observando su comportamiento. Este es el entorno en el que se ha centrado el artículo “Loophole: Timing Attacks on Shared Event Loops in Chrome”, que tiene a Pepe Vila y Boris Köpf como autores. En él los investigadores del Instituto IMDEA Software describen una forma de espiar a Chrome, el navegador web más usado del mundo. Mediante ese ataque, una página web maliciosa puede identificar qué otras páginas están siendo visitadas por el usuario. Aunque esas otras páginas se encuentren abiertas en otras pestañas del navegador, el ataque permite a la página maliciosa medir los tiempos de tecleado dentro de campos en esas otras páginas, incluyendo claves o pin que el usuario use en esas otras páginas. Aunque esas mediciones parezcan inocuas, pueden permitir identificar la longitud de la clave y su contenido. Todo esto sin acceder directamente a la clave ni a las páginas siendo visitadas, sino observando el comportamiento del navegador mientras el usuario lo utiliza. El artículo también propone medidas para paliar estos problemas.

Este trabajo, disponible en https://www.usenix.org/conference/usenixsecurity17/technical-sessions/presentation/vila, ha recibido un “Distinguished Paper Award” de la edición 2017 de USENIX Security Symposium, uno de los congresos de seguridad de computadores de mayor prestigio mundial.

El Instituto IMDEA Software es uno de los siete Institutos auspiciados por la Comunidad de Madrid cuyo propósito es realizar investigación puntera en sus respectivos campos. El Instituto IMDEA Software se dedica a la investigación en tecnologías viables en la práctica para el desarrollo de software fiable y eficiente, para lo que cuenta con financiación de la Comunidad de Madrid y de subvenciones públicas, como la antedicha ERC, y privadas a través de numerosos contratos con empresas.


Copyright © Comunidad de Madrid.