Hemos hablado en varias ocasiones antes en AndroidTR sobre WebVR, la realidad virtual de Google dentro del navegador pero, para que esta tecnología junto algunos juegos funcionen, es necesario que la página web se pueda comunicar con los sensores de nuestro dispositivo. Pues bien, investigadores han conseguido transformar esta interacción en un peligro para tu seguridad. Sigue leyendo y te contamos cómo lo han hecho.
Con cada avance tecnológico, usualmente nos paramos a pensar en sus innumerables ventajas. Este es el caso de la interacción de las páginas web con los sensores físicos del dispositivo, creando la “magia” necesaria para que la realidad virtual sea más accesible. No obstante, siempre existen otro tipo de investigadores que, en vez de aprovechar esta tecnología, intentan adelantarse a lo que se puede hacer con ella en malas manos.
Los investigadores de Chromium han encontrado un serio problema en el acceso a los sensores. Dichos expertos han creado un código que se ejecuta en el propio navegador, pasando desapercibido, pero capaz de saber que códigos introducimos en nuestro teléfono incluso en segundo plano.
Para ello, aunque suene a episodio de serie de ciencia ficción y bajo presupuesto, como cuando en la popular serie CSI desactivaban bombas con Excel, estos investigadores afirman ser capaces de captar pines mediante el propio giroscopio del teléfono, el mismo sensor que se usa en WebVR.
Tan bueno que preocupa.
El algoritmo final parece tener una gran tasa de acierto. Estos investigadores aseguran un éxito del 74% en el primer intento, 86% en el segundo intento y un espantoso 94% en el tercer intento. Decimos espantoso no porque sea malo, realmente el algoritmo es demasiado bueno, tanto que puede llegar a asustar.
Todo lo que tendría que hacer alguien que desee explotar este problema es conseguir que tengamos abierta una ventana en segundo plano con el código correcto. No es necesario que la pestaña se encuentre visible para que esta técnica pueda ser usada.
De todas formas, por ahora parece que no debemos preocuparnos demasiado puesto que no existen evidencias de que esta técnica esté siendo usada aún con fines que no sean velar por nuestra propia seguridad, no obstante, siempre viene bien ir un paso por delante de las personas con menos escrúpulos.
Vía – Ars Technica.