Rsa: smarttelefonen din lagrer hvert tastetrykk du noen gang har skrevet

Det er et program som kan registrere hvert tastetrykk du noen gang har skrevet på smarttelefonen, til og med en iPhone. Det er ikke en uhyggelig trojan eller en ond keylogger. Det er ganske enkelt databasen som telefonen trekker frem for å gi AutoComplete-resultater. Du kan ikke grave deg inn og se tastetrykkene selv, men på RSA Conference-leverandøren demonstrerte StrikeForce Technologies at ekstern programvare kan lese tilbake den databasen og dermed lese opp hver tekst eller e-post du har sendt, og enda viktigere, hvert passord du har har skrevet.

StrikeForce lager GuardedID anti-keylogger-verktøyet for PC-er. På konferansen kunngjør de MobileTrust, en lignende løsning for alle Apple- og Android-mobile enheter. Som med GuardedID, krypterer MobileTrust kommunikasjonen mellom tastaturet og de sensitive programmene dine. Ingen tastetrykk går inn i AutoComplete-databasen, så hemmelighetene dine er trygge.

MobileTrust er for tiden i beta, med utgivelse forventet om en måned eller to. Det gjør ganske mye mer som bare krypterer tastetrykk. Det er et fullskala passordhvelv som lagrer alle data i en AES-256-kryptert database. Det vil generere sterke passord og engangs passord. Virksomheten vil være fornøyd med at den kan generere fullstendige OATH-kompatible soft tokens.

Ram Pemmaraju, StrikeForce CTO, sa "Hvis du vet hvor du skal se, er det ganske enkelt å ta tak i det. En useriøs app kan få tilgang til tastetrykkdatabasen." Han påpekte at selv om du kan slette hurtigbufrede tastetrykk fra iPhonen din, vet de fleste brukere ikke hvordan, og du må gjøre det om og om igjen.

Hvorfor ikke innebygd?

"Sannheten er at hvis PC- og mobile enhetsprodusenter integrerte tastetrykk-kryptering i enhetene sine, ville de spart kundene sine for milliarder av dollar, " sier Mark Kay, administrerende direktør i StrikeForce Technologies. "Hvis HP, Dell, Lenovo, Samsung, Sony, Apple eller noen større produsent innebygd tastetrykkkryptering i systemene deres, ville det gjøre databehandling og kommunikasjon 90% tryggere for oss alle."

Så hvorfor bygger de ikke inn den beskyttelsen? George Waller, konserndirektør og co-grunnlegger av StrikeForce forklarte at de har prøvd. "Du prøver å komme til disse karene, " sa Waller, "men de er så store. Mange av selskapene, du vet bare ikke hvor du skal dra." Waller bemerket at det kan være mer fornuftig å gå til produsentene av MDM-systemer (Mobile Device Management).

Hva er ondsinnet?

Pemmaraju påpekte at tradisjonell antivirus-skanning bare ikke fungerer på mobile enheter, spesielt iPhones. "Modellen for å prøve å avskjære apper og bestemme om de er ondsinnet fungerer bare ikke, " sa han. "Antivirus for mobilplattformen er virkelig en falsk, en kludge. Selv i iPhone-appbutikken kan det være useriøse apper." Han bemerket at den enkle handlingen av å lese karakterdatabasen kanskje ikke blir oppdaget som ondsinnet, fordi "disse karene er flinke!"

Om en måned vil du kunne laste ned MobileTrust gratis fra Android- eller Apple-butikken.

Hvis du vil se alle innlegg fra RSA-dekningen, kan du sjekke siden Vis rapporter.