Rsa: điện thoại thông minh của bạn lưu trữ mọi tổ hợp phím bạn từng gõ

Có một ứng dụng có thể ghi lại mọi thao tác gõ phím bạn từng gõ trên điện thoại thông minh của mình, thậm chí là iPhone. Nó không phải là một Trojan độc ác hay một keylogger độc ác. Nó chỉ đơn giản là cơ sở dữ liệu mà điện thoại rút ra để cung cấp kết quả AutoComplete. Bạn không thể tự mình xem và gõ phím, nhưng tại nhà cung cấp bảo mật Hội nghị RSA StrikeForce Technologies đã chứng minh rằng phần mềm bên ngoài có thể đọc lại cơ sở dữ liệu đó và do đó đọc mọi văn bản hoặc email bạn đã gửi và quan trọng hơn là mọi mật khẩu bạn đã gõ.

StrikeForce làm cho công cụ chống keylogger GuardedID cho PC. Tại hội nghị, họ sẽ công bố MobileTrust, một giải pháp tương tự cho tất cả các thiết bị di động của Apple và Android. Như với GuardedID, MobileTrust mã hóa giao tiếp giữa bàn phím và các ứng dụng nhạy cảm của bạn. Không có tổ hợp phím nào đi vào cơ sở dữ liệu AutoComplete, vì vậy các bí mật của bạn được an toàn.

MobileTrust hiện đang trong giai đoạn thử nghiệm, với dự kiến ​​phát hành trong một hoặc hai tháng. Nó làm khá nhiều hơn một chút mà chỉ mã hóa tổ hợp phím. Đó là một hầm mật khẩu quy mô đầy đủ lưu trữ tất cả dữ liệu trong cơ sở dữ liệu được mã hóa AES-256. Nó sẽ tạo ra mật khẩu mạnh và mật khẩu một lần. Doanh nghiệp sẽ hài lòng rằng nó có thể tạo ra các mã thông báo mềm tuân thủ hoàn toàn OATH.

Ram Pemmaraju, StrikeForce CTO, cho biết "Nếu bạn biết tìm ở đâu, khá dễ dàng để lấy nó. Một ứng dụng giả mạo có thể truy cập cơ sở dữ liệu tổ hợp phím." Ông chỉ ra rằng, trong khi bạn có thể xóa các tổ hợp phím được lưu trong bộ nhớ cache khỏi iPhone, hầu hết người dùng không biết làm thế nào và bạn phải làm đi làm lại nhiều lần.

Tại sao không tích hợp?

"Sự thật là nếu các nhà sản xuất PC và thiết bị di động tích hợp mã hóa tổ hợp phím vào thiết bị của họ, họ sẽ tiết kiệm cho khách hàng hàng tỷ đô la", Mark Kay, CEO của StrikeForce Technologies cho biết. "Nếu HP, Dell, Lenovo, Samsung, Sony, Apple hoặc bất kỳ nhà sản xuất lớn nào nhúng mã hóa tổ hợp phím vào hệ thống của họ, nó sẽ giúp máy tính và truyền thông an toàn hơn 90% cho tất cả chúng ta."

Vậy tại sao họ không xây dựng trong sự bảo vệ đó? George Waller, Phó chủ tịch điều hành và đồng sáng lập StrikeForce giải thích rằng họ đã thử. "Bạn cố gắng đến với những người này, " Waller nói, "nhưng họ rất lớn. Rất nhiều công ty, bạn chỉ không biết đi đâu." Waller lưu ý rằng việc tìm đến các nhà sản xuất hệ thống MDM (Quản lý thiết bị di động) có thể có ý nghĩa hơn.

Có gì độc hại?

Pemmaraju chỉ ra rằng quét chống vi-rút truyền thống chỉ không hoạt động trên các thiết bị di động, đặc biệt là iPhone. "Mô hình cố gắng chặn các ứng dụng và xác định xem chúng có độc hại không chỉ hoạt động", ông nói. "Các chương trình diệt virus cho nền tảng di động thực sự là giả, một loại bùn. Ngay cả trong cửa hàng ứng dụng iPhone cũng có thể có các ứng dụng giả mạo." Ông lưu ý rằng hành động đơn giản là đọc cơ sở dữ liệu nhân vật có thể không bị phát hiện là độc hại, bởi vì "những kẻ này thật thông minh!"

Trong khoảng một tháng nữa, bạn sẽ có thể tải xuống MobileTrust miễn phí từ cửa hàng Android hoặc Apple.

Để xem tất cả các bài đăng từ phạm vi bảo hiểm RSA của chúng tôi, hãy xem trang Hiển thị Báo cáo của chúng tôi.