Rsa: din smartphone lagrar varje tangenttryckning du någonsin har skrivit

Det finns en applikation som kan spela in alla tangenttryckningar du någonsin har skrivit på din smartphone, till och med en iPhone. Det är inte en ond trojan eller en ond keylogger. Det är helt enkelt databasen som telefonen drar på för att ge AutoComplete-resultat. Du kan inte gräva in och se tangenttryckningarna själv, men på RSA-konferensens säkerhetsleverantör demonstrerade StrikeForce Technologies att extern programvara kan läsa tillbaka den databasen och därmed läsa upp alla text eller e-postmeddelanden du har skickat och, ännu viktigare, alla lösenord du har har skrivit.

StrikeForce gör GuardedID-antikyloggerverktyget för datorer. På konferensen tillkännager de MobileTrust, en liknande lösning för alla Apple- och Android-mobila enheter. Precis som med GuardedID krypterar MobileTrust kommunikation mellan tangentbordet och dina känsliga applikationer. Inga tangenttryckningar går in i databasen AutoComplete, så dina hemligheter är säkra.

MobileTrust är för närvarande i beta, med utgåvan förväntad om en månad eller två. Det gör en hel del mer att bara kryptera tangenttryckningar. Det är ett fullskaligt lösenordsvalv som lagrar all data i en AES-256-krypterad databas. Det kommer att generera starka lösenord och engångslösenord. Företaget kommer att vara nöjda med att de kan generera fullständiga OATH-kompatibla mjuka symboler.

Ram Pemmaraju, StrikeForce CTO, sa "Om du vet vart du ska titta, är det ganska lätt att ta tag i det. En skurk-app kan komma åt databasen för tangenttryckningar." Han påpekade att även om du kan ta bort cachade tangenttryckningar från din iPhone, vet de flesta användare inte hur, och du måste göra det om och om igen.

Varför inte inbyggt?

"Sanningen är att om tillverkarna av PC- och mobila enheter integrerade tangenttryckningskryptering i sina enheter skulle de spara sina kunder miljarder dollar", säger Mark Kay, VD för StrikeForce Technologies. "Om HP, Dell, Lenovo, Samsung, Sony, Apple eller någon stor tillverkning inbäddad knapptryckningskryptering i deras system, skulle det göra datoranvändning och kommunikation 90% säkrare för oss alla."

Så varför bygger de inte in det skyddet? George Waller, vice verkställande direktör och grundare av StrikeForce förklarade att de har provat. "Du försöker komma till dessa killar, " sade Waller, "men de är så stora. Många av företagen, du vet bara inte vart du ska gå." Waller noterade att det kan vara mer meningsfullt att gå till tillverkarna av MDM-system (Mobile Device Management).

Vad är skadligt?

Pemmaraju påpekade att traditionell antivirusskanning bara inte fungerar på mobila enheter, särskilt iPhones. "Modellen att försöka fånga appar och bestämma om de är skadliga fungerar bara inte, " sade han. "Antivirus för mobilplattformen är verkligen en falsk, en kludge. Även i iPhone-appbutiken kan det finnas falska appar." Han noterade att den enkla handlingen att läsa karaktärsdatabasen kanske inte upptäcks som skadlig, eftersom "dessa killar är smarta!"

Om en månad kommer du att ladda ner MobileTrust gratis från Android- eller Apple-butiken.

För att se alla inlägg från vår RSA-täckning, kolla in vår sida för rapporter.