Un grupo de investigadores de la Universidad de Nanjing, en China, han demostrado que los movimientos de los usuarios de Android pueden ser rastreados con sólo analizar los datos proporcionados por los acelerómetros y los sensores de orientación de los dispositivos.

A diferencia de los datos del GPS, estas lecturas pueden ser recolectadas fácilmente por aplicaciones potencialmente maliciosas, ya que pueden acceder a ellas sin necesidad de permisos específicos.

Los expertos evaluaron la exactitud del seguimiento mediante la implementación de una sencilla aplicación que registra los datos de aceleración en los teléfonos inteligentes de ocho voluntarios. Los voluntarios llevaron los teléfonos mientras usaban una línea específica del metro de Nanjing durante un período de tiempo determinado.

Los datos recogidos, se correlacionaron con los datos de ubicación de las estaciones del metro, dieron como resultado una precisión del 92% en el descubrimiento de los movimientos de los voluntarios si arribaban al metro en 6 estaciones.

"Creemos que este hallazgo es especialmente amenazante por tres razones", explicaron los investigadores. "En primer lugar, las plataformas móviles actuales, como Android, permiten que las aplicaciones accedan al acelerómetro sin necesidad de tener un privilegio especial o sin el consentimiento explícito del usuario, lo que significa que es muy fácil para los atacantes crear malware sigiloso para espiar el acelerómetro. En segundo lugar, el metro es el medio de transporte preferido para la mayoría de las personas de las principales ciudades. Esto significa que un malware basado en este hallazgo puede afectar a una gran parte de la población", señalaron.

"La última y la más importante, los rastros en el metro se pueden utilizar para inferir una gran cantidad de información privada adicional. Por ejemplo, si un atacante traza una ruta del usuario del teléfono inteligente durante algunos días, puede ser capaz de inferir la programación diaria del usuario, como la zona en donde vive y trabaja; y así, amenazar seriamente su seguridad física".

Para este experimento se optó por utilizar los datos correspondientes al uso de los voluntarios del metro porque "los trenes del metro van sobre vías, por lo que sus patrones de movimiento son distinguibles de los de coches o autobuses que circulan en las carreteras ordinarias" y, debido a que las distancias entre las estaciones de metros vecinos rara vez son exactamente iguales, por lo que los "patrones de movimiento del tren dentro de diferentes intervalos se distinguen, también."

El desarrollo de una aplicación maliciosa que recoja estos datos y los envíe a un servidor remoto debe ser extremadamente fácil. Las víctimas potenciales pueden ser engañadas para instalarlas a través de un ataque de ingeniería social.

Además, es poco probable que una aplicación como esta sea considerada como maliciosa y se elimine de las tiendas de aplicaciones en línea. Como se dijo antes, no necesita permiso especial alguno para acceder a las lecturas de los sensores del acelerómetro y orientación. Conseguir el permiso de los usuarios para acceder a Internet (para enviar los datos) es casi un hecho, ya que casi todas las aplicaciones solicitan este permiso y los usuarios lo otorgan sin pensarlo dos veces.