Rsa: uw smartphone slaat elke toetsaanslag op die u ooit hebt getypt

Er is een applicatie die elke toetsaanslag kan opnemen die je ooit op je smartphone hebt getypt, zelfs een iPhone. Het is geen sinistere Trojan of een kwaadaardige keylogger. Het is gewoon de database die de telefoon gebruikt om AutoAanvullen-resultaten te leveren. Je kunt niet ingraven en zelf de toetsaanslagen zien, maar bij de RSA Conference-beveiligingsleverancier StrikeForce Technologies heeft aangetoond dat externe software die database kan lezen en dus elke tekst of e-mail die je hebt verzonden en, belangrijker, elk wachtwoord dat je heb getypt.

StrikeForce maakt de GuardedID anti-keylogger tool voor pc's. Tijdens de conferentie kondigen ze MobileTrust aan, een vergelijkbare oplossing voor alle mobiele apparaten van Apple en Android. Net als bij GuardedID versleutelt MobileTrust de communicatie tussen het toetsenbord en uw gevoelige toepassingen. Er komen geen toetsaanslagen in de AutoAanvullen-database, dus uw geheimen zijn veilig.

MobileTrust is momenteel in bèta, met release verwacht over een maand of twee. Het doet nogal wat meer dan alleen toetsaanslagen coderen. Het is een volledige wachtwoordkluis die alle gegevens opslaat in een AES-256 gecodeerde database. Het zal sterke wachtwoorden en eenmalige wachtwoorden genereren. Het bedrijfsleven zal blij zijn dat het volledig OATH-conforme zachte tokens kan genereren.

Ram Pemmaraju, StrikeForce CTO, zei: "Als je weet waar je moet zoeken, is het vrij eenvoudig om het te pakken. Een malafide app kan toegang krijgen tot de toetsaanslagdatabase." Hij wees erop dat, hoewel je de in het cachegeheugen opgeslagen toetsaanslagen van je iPhone kunt verwijderen, de meeste gebruikers niet weten hoe en je het steeds opnieuw moet doen.

Waarom niet ingebouwd?

"De waarheid is dat als de fabrikanten van pc's en mobiele apparaten toetsaanslagcodering in hun apparaten zouden integreren, ze hun klanten miljarden dollars zouden besparen", aldus Mark Kay, CEO van StrikeForce Technologies. "Als HP, Dell, Lenovo, Samsung, Sony, Apple of elke andere grote ingebouwde toetsaanslagcodering in hun systemen zou maken, zou het computergebruik en communicatie 90% veiliger zijn voor ons allemaal."

Dus waarom bouwen ze die bescherming niet in? George Waller, Executive Vice President en mede-oprichter van StrikeForce legde uit dat ze het hebben geprobeerd. "Je probeert deze jongens te bereiken, " zei Waller, "maar ze zijn zo groot. Veel bedrijven weten gewoon niet waar je heen moet." Waller merkte op dat naar de makers van MDM-systemen (Mobile Device Management) gaan, wellicht logischer is.

Wat is kwaadaardig?

Pemmaraju wees erop dat traditionele antivirusscans gewoon niet werken op mobiele apparaten, vooral iPhones. "Het model van het proberen apps te onderscheppen en te bepalen of ze schadelijk zijn, werkt gewoon niet, " zei hij. "Antivirussen voor het mobiele platform zijn echt nep, een kludge. Zelfs in de iPhone app store kunnen er frauduleuze apps zijn." Hij merkte op dat de eenvoudige handeling van het lezen van de personendatabase mogelijk niet als schadelijk wordt gedetecteerd, omdat "deze jongens slim zijn!"

Over een maand of zo kun je MobileTrust gratis downloaden van de Android- of Apple Store.

Ga naar onze pagina Rapporten weergeven om alle berichten van onze RSA-dekking te zien.