"Desde siempre se ha asumido que estas aplicaciones no pueden interferir fácilmente las unas con las otras", comenta Zhiyun Qian, profesor asociado de la Universidad de California. "Mostramos que este supuesto no es correcto y que realmente una app puede impactar significativamente a otra, resultando en consecuencias dañinas para el usuario".
El ataque parte de que el usuario descargue e instale una aplicación con código malicioso pero de apariencia inofensiva. Una vez instalado el software, los investigadores pueden acceder a las estadísticas de uso de la memoria compartida del aparato, la cual no exige ningún privilegio de usuario.
Esto permite monitorizar los cambios en la memoria compartida y relacionarlos con la actividad del usuario en tiempo real. Entre las acciones que los investigadores han conseguido interceptar se encuentra el registro en Gmail, con un 92% de ataques exitosos, el registro en la aplicación tributaria H&R Block, también con un 92% de éxito, compras en Newegg, con un 86%, o el cobro de cheques mediante la app de CHASE Bank, capturados el 83% de las veces.
Los investigadores explican que el éxito del ataque depende de que este pase desapercibido para el usuario y de que se produzca en el mismo instante en el que se realiza la acción. "Sabemos que el usuario está en la app de banca, y cuando está a punto de registrarse, inyectamos una pantalla de login idéntica", comenta Qi Alfred Chen de la Universidad de Michigan. "No se deben instalar aplicaciones que no sean de confianza".
