Rsa: вашият смартфон съхранява всеки натиснат клавиш, който някога сте въвели

Има приложение, което може да запише всеки натискане на клавиш, който някога сте въвели на вашия смартфон, дори iPhone. Това не е зловещ троянец или зъл кейлогър. Това е просто базата данни, която телефонът използва, за да предостави резултати от AutoComplete. Не можете сами да копаете и да виждате натисканията на клавиши, но на доставчика на сигурност на конференцията на RSA StrikeForce Technologies демонстрира, че външният софтуер може да прочете обратно тази база данни и по този начин да прочете всеки изпратен от вас текст или имейл и, по-важното, всяка парола написахте.

StrikeForce прави GuardedID анти-keylogger инструмент за персонални компютри. На конференцията те обявяват MobileTrust, подобно решение за всички мобилни устройства на Apple и Android. Както при GuardedID, MobileTrust криптира комуникацията между клавиатурата и вашите чувствителни приложения. Никакви натискания на клавиши не влизат в базата данни за автоматично завършване, така че вашите тайни са в безопасност.

MobileTrust в момента е в бета версия, като освобождаването се очаква след месец или два. Това прави доста повече неща, които просто криптират натисканията на клавишите. Това е пълномащабен свод с парола, който съхранява всички данни в криптирана база данни AES-256. Той ще генерира силни и еднократни пароли. Бизнесът ще бъде доволен, че може да генерира напълно съвместими с OATH меки жетони.

Ram Pemmaraju, StrikeForce CTO, каза: „Ако знаете къде да търсите, е доста лесно да го вземете. Приложно приложение може да получи достъп до базата данни за натискане на клавиши.“ Той посочи, че докато можете да изтриете кешираните натискания на клавиши от вашия iPhone, повечето потребители не знаят как и ще трябва да го правите отново и отново.

Защо не вграден?

„Истината е, че ако производителите на персонални компютри и мобилни устройства интегрират криптиране с натискане на клавиши в своите устройства, те ще спестят на своите клиенти милиарди долари“, казва Марк Кей, изпълнителен директор на StrikeForce Technologies. "Ако HP, Dell, Lenovo, Samsung, Sony, Apple или някое голямо производство вгради криптиране с натискане на клавиши в своите системи, това ще направи изчисленията и комуникациите с 90% по-безопасни за всички нас."

Така че защо те не вграждат в тази защита? Джордж Уолър, изпълнителен вицепрезидент и съосновател на StrikeForce обясни, че са се опитали. "Опитвате се да стигнете до тези момчета", каза Уолър, "но те са толкова големи. Много от компаниите, просто не знаете къде да отидете." Уолър отбеляза, че отиването при производителите на MDM (Mobile Device Management) системи може да има повече смисъл.

Какво е злонамерено?

Pemmaraju посочи, че традиционното антивирусно сканиране просто не работи на мобилни устройства, особено на iPhone. "Моделът на опит за прихващане на приложения и да се определи дали те са злонамерени просто не работи", каза той. "Антивирусите за мобилната платформа наистина са фалшива, заблуда. Дори в магазина за приложения на iPhone може да има нелоялни приложения." Той отбеляза, че простият акт на четене на базата данни с символи може да не бъде открит като злонамерен, защото "тези момчета са умни!"

След около месец ще можете да изтеглите MobileTrust безплатно от магазина за Android или Apple.

За да видите всички публикации от нашето покритие на RSA, вижте страницата ни Show Reports.