• Tweet

El Fraunhofer Institute for Secure Information Technology esta vendiendo una aplicación para telefonía móvil que ofrece una novedad sobre la contraseña de otras aplicaciones de almacenamiento.

La aplicación, MobileSitter, almacenará contraseñas, números PIN (números de identificación personal) y TAN (número de autenticación de transacción). Los códigos secretos se cifran y revelan introduciendo una contraseña maestra.

El peligro de almacenar contraseñas en sus respectivas aplicaciones es que hay métodos que un hacker puede utilizar para conseguir la contraseña maestra. Los atacantes pueden intentar la fuerza bruta o ataques de diccionario, donde diferentes contraseñas son repetidas en varias ocasiones por programas automatizados, dijo Rachid El Khayari, becario de investigación en seguridad de sistemas móviles en Fraunhofer. Algunas aplicaciones de almacenamiento de contraseñas no limitan el número de veces que las contraseñas se pueden introducir, dijo.

El MobileSitter, sin embargo, siempre devolverá una respuesta, independientemente de lo que se introduce como contraseña maestra. Si su PIN de la tarjeta de débito es "5555", pero una contraseña maestra es mal introducida, el MobileSitter descifrará un valor basado en la contraseña incorrecta, por ejemplo "8901."

"Lo cual no responde a la pregunta de si la contraseña maestra es correcta o incorrecta," dijo El Khayari.

Los atacantes no saben que el valor devuelto es incorrecto, hasta que traten de usar la tarjeta. Si el atacante obtiene la tarjeta de débito de la víctima y trata de retirar dinero en efectivo, pero en repetidas ocasiones ingresó en el PIN equivocado, los cajeros automáticos normalmente retienen la tarjeta después de varios intentos.

El usuario autorizado de MobileSitter también puede definir reglas sobre como cierta información se devuelve. Por ejemplo, una regla puede ser creada únicamente para regresar PINs de 4-dígitos cada que se solicita información de modo que un atacante cree que ha obtenido un PIN en lugar de algún otro código secreto, dijo El Khayari.

"Cuando usted solicite un PIN y le muestre letras, usted sabrá que no está bien," dijo El Khayari.

¿Qué sucede si el usuario autorizado MobileSitter ingresa mal la contraseña maestra- MobileSitter mostrará un icono, como una estrella roja, que el usuario eligió cuando creó su contraseña maestra. Si se introduce mal la contraseña maestra, el usuario verá un icono incorrecto y sabrá que debe volver a intentarlo. El atacante no sabe cual es el icono correcto.

Fraunhofer vende directamente MobileSitter por € 9,90 (EE.UU. $ 13,45) en su sitio web, aunque la organización de investigación normalmente licencia su tecnología, dijo El Khayari. También tiene un programa mediante el cual las empresas pueden comprar la aplicación, poniendo su logo en la pantalla de inicio y ofreciéndolo a sus clientes. Fraunhofer también ofrece una licencia a los fabricantes para preinstalar MobileSitter.

MobileSitter es compatible con teléfonos habilitados para ejecutar aplicaciones Java que permiten el acceso al sistema de archivos de un teléfono móvil. Fraunhofer espera lanzar una versión este año para el iPhone de Apple. Una versión para el sistema operativo Android esta también en los planes, dijo Khayari.