È stato ribattezzato GhostTouch l’attacco userebbe l’interferenza elettromagnetica (EMI, ElectroMagnetic Interference) per iniettare falsi punti di contatto in un touchscreen senza la necessità di alcuna interazione fisica.
Indice degli argomenti
Come funziona l’attacco GhostTouch
L’interferenza elettromagnetica EMI si manifesta quando nell’ambiente di un dispositivo sono presenti tensioni o correnti indesiderate, causando malfunzionamenti o un degrado delle prestazioni. Nel caso specifico, gli accademici avrebbero impiegato interferenze elettromagnetiche da radiazione per interferire con i dispositivi attraverso il cosiddetto accoppiamento elettromagnetico, un fenomeno che induce cariche elettriche nei circuiti elettronici.
Pertanto, l’idea alla base sarebbe quella di sfruttare tali segnali elettromagnetici per iniettare eventi di tocco falsi come tap e swipe in posizioni mirate del touchscreen con l’obiettivo di assumere il controllo remoto del dispositivo e manipolarlo.
“Possiamo iniettare colpi mirati di continuo con una deviazione standard dall’area target di soli 14,6 x 19,2 pixel, un ritardo inferiore a 0,5 secondi e una distanza fino a 40 mm. Mostriamo l’impatto nel mondo reale degli attacchi GhostTouch in alcuni scenari proof-of-concept, inclusa la risposta a una telefonata di intercettazione, la pressione del pulsante, lo scorrimento verso l’alto per sbloccare e l’inserimento di una password”, si legge nel documento pubblicato dai ricercatori. “Infine, discutiamo di potenziali contromisure hardware e software per mitigare l’attacco”.
Il funzionamento dei touchscreen capacitivi
Un touchscreen capacitivo è una griglia di elettrodi di trasmissione (TX) e di ricezione (RX), realizzati con materiali conduttivi trasparenti (ossido di indio-stagno, ITO), sovrapposta al display del dispositivo che rileva i tocchi umani in base alla variazione della capacità di micro sensori tattili.
Quando un dito tocca lo schermo, la capacità nel punto di contatto cambia. Le variazioni di tali capacità in ogni punto dello schermo consentono al touchscreen di individuare un tocco in una posizione specifica tramite la coppia TX-RX attiva, rilevando gli eventi touch in base alla tempistica e alla posizione dei punti di contatto rilevata.
Secondo quanto descritto nel rapporto, regolando i parametri del segnale d’interferenza elettromagnetica (EMI) con un’antenna, sarebbe possibile iniettare in modalità contactless due tipi di eventi touch di base (il tap e lo swipe), in posizioni mirate del touchscreen e controllarli allo scopo di manipolare il dispositivo ad esempio per rispondere a una telefonata o stabilire una connessione di rete.
GhostTouch: lo scenario d’attacco
Secondo la ricerca, per consentire all’attaccante di interferire con il dispositivo solo manipolando il suo touchscreen tramite segnali elettromagnetici e senza toccarlo fisicamente, né chiedere al proprietario di eseguire alcuna operazione, l’attacco GhostTouch dovrebbe essere condotto sotto le seguenti ipotesi:
- il dispositivo target (smartphone, tablet) è dotato di un touchscreen capacitivo ed è posizionato a faccia in giù su una superficie durante l’attacco;
- l’attaccante conosce il modello del dispositivo della vittima e acquisisce un dispositivo dello stesso modello per lo studio preventivo;
- l’attaccante deve nascondere l’attrezzatura di attacco sotto una superficie (ad esempio, sotto un tavolo) e controllarla da remoto.
Nel rispetto di queste ipotesi in uno scenario d’attacco tipico, l’aggressore utilizza un dispositivo EMI sotto un tavolo per attaccare da remoto il touchscreen di uno smartphone posto a faccia in giù sullo stesso tavolo. Iniettando tocchi falsi, l’aggressore può così indurre lo smartphone a:
- fare clic su un link SMS;
- rispondere a una telefonata;
- connettersi a una rete malevola;
I ricercatori hanno pubblicato un video dimostrativo nel caso specifico di una risposta ad una chiamata.
L’implementazione dell’attacco GhostTouch
Come si vede in figura, il sistema GhostTouch risulta composto da due parti:
- un iniettore touch. L’iniettore touch può iniettare eventi tattili quali ad esempio un tap, uno swipe o un multi-touch nel touchscreen e include un generatore di segnale, un amplificatore, un interruttore on/off e un array di antenne riceventi. L’interruttore on/off serve per selezionare le antenne deputate all’emissione dei segnali EMI in modo tale da poter iniettare eventi tattili nelle linee RX mirate;
- un localizzatore telefonico: il localizzatore del telefono consente di definire la posizione del touchscreen e consiste in un array di antenne di rilevamento, un dispositivo di acquisizione dati e un calcolatore di posizione.
Risultati sperimentali
Secondo il rapporto, ben 9 diversi modelli di smartphone sugli 11 testati sarebbero stati trovati vulnerabili a GhostTouch.
In particolare, su 6 di loro sarebbe stato possibile iniettare dei tocchi con molta precisione e sull’iPhone SE (2020) sarebbe stato possibile stabilire una connessione bluetooth.
Per il confronto sarebbe stata impostata una distanza di attacco di 6 mm per tutti i telefoni.
Di seguito, l’allestimento per una misura sperimentale dell’attacco su di uno smartphone Nexus 5X.
Possibili contromisure
Per contrastare la minaccia, i ricercatori raccomandano ai produttori interessati:
- di prevedere una schermatura elettromagnetica per bloccare le interferenze di tipo EMI;
- di migliorare l’algoritmo di rilevamento del touchscreen. L’attacco GhostTouch può essere rilevato misurando l’intervallo di tocco tra la pressione e il sollevamento del dito. È possibile infatti impostare una soglia per identificare se il punto di contatto venga generato da un utente reale o meno. In tal modo si potrebbero rilevare i punti di contatto anomali, rifiutarli e avvisare l’utente;
- di prevedere sui dispositivi dei meccanismi di verifica dell’identità prima di accettare una connessione a un dispositivo bluetooth o a una rete Wi-Fi sconosciuta, chiedendo agli utenti ad esempio di inserire il PIN del telefono o una autenticazione forte tramite riconoscimento del volto o delle impronte digitali prima di eseguire qualsiasi azione potenzialmente a rischio.
