Ascoltando il suono della tastiera è possibile scoprire login e password
L’argomento interessa un’ampia platea di utenti: avvocati e giornalisti, consulenti finanziari e magistrati, dirigenti d’azienda e diplomatici. Professionisti che, messi assieme, ogni giorno passano più di tre miliardi di minuti in video o audioconferenza, usando contemporaneamente la tastiera del proprio pc. Normale routine, verrebbe da pensare ai diretti interessati. Ma la pratica non è esente da rischi. Come riportato in uno studio disponibile su arXiv, i suoni prodotti dalla digitazione sulle tastiere di computer fissi e portatili, se registrati durante una telefonata online, permettono di ricostruire il testo digitato da una vittima ignara. Potrebbe dunque essere a rischio la privacy di chi, nel corso di una chiamata via Skype, scrive email, invia messaggi tramite WhatsApp Web o utilizzando le chat di Facebook, Twitter e Instagram.
COSÌ SI OTTENGONO INFORMAZIONI RISERVATE
I risultati sono stati portati alla luce da un team di ricerca internazionale che ha visto coinvolte le Università di Padova, la Sapienza di Roma e l’Università Irvine della California. Tra gli esperti di sicurezza informatica era già noto che i diversi tasti delle tastiere emettessero suoni differenti, che permettono di capire quale pulsante sia stato premuto da un utente. Finora, però, era necessario conoscere bene lo stile di digitazione della vittima, e soprattutto posizionare un dispositivo di registrazione vicino alla tastiera della persona presa di mira. Come spiega da Daniele Lain, co-autore dello studio, laureatosi in informatica all’Università di Padova, «il nostro lavoro mostra invece che tale registrazione è possibile anche da remoto, grazie ai software di telefonia attraverso il web che, non alterando il suono dei tasti, consentono di accedere a certe informazioni con successo». L’idea è nata durante una chiamata Skype di gruppo, tra l’Italia e gli Stati Uniti, durante la quale si sentivano dei rumori di fondo, provenienti dalle tastiere. I ricercatori si sono chiesti se fosse possibile capire dalla pressione sui tasti quello che alcuni di loro stavano scrivendo. Finché la discussione non s’è spostata sul piano scientifico.
UNO STESSO TASTO E PIÙ RUMORI
La ricerca ha svelato la possibilità di colpire persone per le quali non si disponeva di informazioni relative al loro stile di digitazione. Tramite il suono dei tasti, è stato possibile determinare quale modello di tastiera stesse utilizzando la vittima. Successivamente, utilizzando dati di addestramento presi da altre persone su tastiere della stessa marca, i ricercatori hanno ricostruito quanto la vittima avesse digitato durante la chiamata. «La T schiacciata su un MacBook emette un suono diverso rispetto alla stessa lettera digitata su un altro computer o alla R, che pure si trova accanto sulla tastiera», si legge nel lavoro. Le probabilità di individuare una password, un indirizzo email o un codice digitato al pc sono risultate variabili tra il 42 e il 92 per cento, a seconda di quanto si conosce lo stile del dattilografo e la tastiera utilizzata.
MEGLIO UTILIZZARE SMARTPHONE E TABLET
I software VoIP – ovvero di telefonia attraverso la rete Internet – sono tra i programmi di uso più frequente. Tra questi, Skype è il più popolare, con trecento milioni gli utenti attivi ogni mese. Seguono Google Hangouts, Viber, ooVoo, Evaphone, PoivY. La ricerca si è soffermata sui più diffusi: Skype e Google Hangouts. Ma visti i risultati, tutto lascia pensare che gli stessi rischi si corrano pure con gli altri. «La capacità di attaccare vittime potenzialmente sconosciute invita a non digitare informazioni sensibili durante l’utilizzo di questi software – chiosa Mauro Conti, membro del gruppo di ricerca Spritz dell’Università di Padova, che lavora sulle tematiche riguardanti la sicurezza e la privacy delle nuove tecnologie -. Il nostro studio si è limitato a osservare cosa accade utilizzando le tastiere da pc, ma il consiglio di utilizzato tastiere olografiche o superfici touch-screen (come quelle di smartphone e tablet, ndr) è sicuramente valido, se l’obiettivo è quello di proteggere dati sensibili». (fonte)
