R2B2, il robot in grado di scoprire qualunque codice PIN utilizzato dagli utenti Android.


Di recente due ricercatori di sicurezza hanno realizzato un robot in grado di scovare qualsiasi codice PIN utilizzato dagli utenti Android per negare a terzi l'accesso ai loro smartphone in meno di 20 ore. In pratica unendo delle parti stampate in 3D, dei servomotori, un microcontrollore, una webcam ed una stilo di plastica, Justin Engler e Paul Vines hanno progettato quello che poi hanno battezzato R2B2, (sigla che indica Robotic Reconfigurable Button Basher), spendendo soltanto circa 200 dollari: una somma certamente alla portata della maggior parte dei cybercriminali che vendono le informazioni riservate conservate sui dispositivi smarriti o rubati. Ad ogni modo di solito per effettuare manualmente il cracking di un PIN, (che solitamente è composto da quattro cifre), basta avere delle dita abbastanza allenate ed un bel po' di tempo, considerando che, con tutte le eventuali ripetizioni dei numeri da 0 a 9, esistono 10.000 combinazioni possibili. Tuttavia R2B2 è sicuramente una valida alternativa a basso costo che evita il lavoro manuale. Infatti, come già anticipato, il robot in questione è stato assemblato collegando tra loro alcuni parti in plastica stampate con una MakerBot, tre servomotori da 10 dollari, un microcontrollore Arduino, una penna stilo ed una webcam da 5 dollari che inquadra lo schermo dello smartphone per verificare se il PIN è corretto. Inoltre R2B2 può essere controllato semplicemente tramite USB da un qualsiasi computer sul quale viene eseguito l'apposito software di cracking. Tuttavia non tutti i dispositivi protetti da un codice PIN possono essere attaccati in modalità "brute force" da R2B2. Ad esempio, iOS, il sistema operativo di Apple, imposta un tempo di attesa che diventa man mano più lungo dopo ogni errore, quindi il cracker potrebbe attendere anche diverse ore prima di poter effettuare un nuovo tentativo. Invece l'impostazione predefinita di Android prevede un tempo di attesa di appena 30 secondi dopo 5 errori; il che vuol dire che R2B2 è in grado di provare tutte le 10.000 combinazioni nel giro di 19 ore e 24 minuti. Per di più, secondo un recente studio, il 26% degli utenti sceglie una delle 20 combinazioni più comuni, molte delle quali ottenute ripetendo per quattro volte lo stesso numero. E dunque il software può essere programmato per provare ad inserire prima di tutte queste combinazioni, il che consentirebbe a R2B2  di craccare un quarto degli smartphone in meno di 5 minuti ed il 50% in meno di un'ora. Perciò la soluzione più ovvia per proteggere il proprio smartphone sarebbe quella di aumentare la lunghezza del PIN; infatti per trovare un codice a sei cifre, il robot R2B2 potrebbe impiegare addirittura 80 giorni. Inoltre, come se non bastasse, l'invenzione di Justin Engler e Paul Vines può essere adattata per funzionare anche con oggetti non dotati di touchscreen, come casseforti o bancomat. Comunque sia il robot in questione è stato da poco presentato durante la conferenza Black Hat USA 2013 di Las Vegas, e tra non molto l'elenco di tutti i componenti, le istruzioni di assemblaggio ed i file STL per le parti stampate saranno messe online e potranno essere scaricate da chiunque fosse interessato. Oltretutto i due ricercatori attualmente sono già al lavoro su una versione più evoluta di R2B2, a cui hanno dato il nome C3BO, (sigla che significa Capacitive Cartesian Coordinate Bruteforceing Overlay), il quale è programmato per simulare i tap sullo schermo capacitivo mediante dei segnali elettrici; il che vuol dire che non vi è nessuna parte in movimento, perciò risulta molto più veloce. 

Di seguito un breve video che mostra R2B2 in azione:

Commenti