Rsa: din smartphone gemmer hvert tastetryk, du nogensinde har skrevet

Der er et program, der kan registrere hvert tastetryk, du nogensinde har skrevet på din smartphone, endda en iPhone. Det er ikke en uhyggelig trojan eller en ond keylogger. Det er simpelthen den database, som telefonen trækker på, for at levere AutoComplete-resultater. Du kan ikke grave dig ind og se tastetryk selv, men på RSA-konferencen har sikkerhedsleverandøren StrikeForce Technologies demonstreret, at ekstern software kan læse den database tilbage og dermed læse enhver tekst eller e-mail, du har sendt, og vigtigere, alle adgangskoder, du har har skrevet.

StrikeForce gør GuardedID anti-keylogger værktøj til pc'er. På konferencen annoncerer de MobileTrust, en lignende løsning til alle Apple- og Android-mobile enheder. Som med GuardedID krypterer MobileTrust kommunikation mellem tastaturet og dine følsomme applikationer. Ingen tastetryk går ind i AutoComplete-databasen, så dine hemmeligheder er sikre.

MobileTrust er i øjeblikket i beta, med frigivelse forventet om en måned eller to. Det gør ganske lidt mere, at bare kryptere tastetryk. Det er et fuldskala-kodeordhvelv, der gemmer alle data i en AES-256-krypteret database. Det vil generere stærke adgangskoder og engangsadgangskoder. Forretningerne vil være glade for, at de kan generere fuldt OATH-kompatible soft tokens.

Ram Pemmaraju, StrikeForce CTO, sagde "Hvis du ved, hvor du skal kigge, er det temmelig let at gribe det. En rogue app kunne få adgang til database-tastetryk." Han påpegede, at selvom du kan slette de cache-tastetryk fra din iPhone, ved de fleste brugere ikke hvordan, og du bliver nødt til at gøre det igen og igen.

Hvorfor ikke indbygget?

"Sandheden er, at hvis pc- og mobilenhedsproducenterne integrerede tastetrykkryptering i deres enheder, ville de spare deres kunder milliarder af dollars, " sagde Mark Kay, administrerende direktør for StrikeForce Technologies. "Hvis HP, Dell, Lenovo, Samsung, Sony, Apple eller en hvilken som helst stor indbygget indbygget tastetrykke-kryptering i deres systemer, ville det gøre computing og kommunikation 90% mere sikker for os alle."

Så hvorfor bygger de ikke ind den beskyttelse? George Waller, koncerndirektør og medstifter af StrikeForce forklarede, at de har prøvet. "Du prøver at komme til disse fyre, " sagde Waller, "men de er så store. Mange af virksomhederne, du ved bare ikke, hvor de skal hen." Waller bemærkede, at det kan være mere fornuftigt at gå til producenterne af MDM-systemer (Mobile Device Management).

Hvad er ondsindet?

Pemmaraju påpegede, at traditionel antivirus-scanning bare ikke fungerer på mobile enheder, især iPhones. "Modellen for at prøve at aflytte apps og bestemme, om de er ondsindede, fungerer bare ikke, " sagde han. "Antivirus til mobilplatformen er virkelig en falsk, en kludge. Selv i iPhone-appbutikken kan der være useriøse apps." Han bemærkede, at den enkle handling ved at læse karakterdatabasen muligvis ikke opdages som ondsindet, fordi "disse fyre er kloge!"

Om en måned vil du kunne hente MobileTrust gratis fra Android- eller Apple-butikken.

For at se alle indlæg fra vores RSA-dækning, tjek vores side Vis rapporter.