Wissenschaftler der Pennsylvania State University und von IBM haben nachgewiesen, dass sich Bewegungssensoren in Android-Smartphones nutzen lassen, um eine eingegebene PIN zu erraten. Sie erstellten dazu einen Trojaner namens TapLogger für Android und veröffentlichten ihre Ergebnisse in einer Studie.
TapLogger baut durch einen "Trainingsmodus" eine Datenbank auf: 30 Durchgänge eines Spiels, in dem der Anwender Symbole zuordnen muss, bringen ihm 400 "Tap-Events", die er mit den gleichzeitigen Sensor-Schwankungen korreliert. Werden später etwa Passwörter oder PINs über Touchscreen eingegeben, kann der Trojaner das Muster nutzen, um auf die Zeichenfolge zu schließen.
Smartphone-Apps für Android benötigen - anders als bei der Internetverbindung oder dem Adressbuch - keine besonderen Rechte, um auf die Sensoren des Geräts zuzugreifen. Die Forscher glauben, dass sich durchaus eine ähnliche App für iOS entwickeln ließe. Es sei auch möglich, aus der geringfügigen Bewegung des Smartphones auf den angetippten Bereich zu schließen, speziell wenn man Kontextdaten vorliegen habe und etwa die Position der Zifferntasten bei einer PIN-Eingabe kenne.
(Quelle: cse.psu.edu/~szhu/papers/taplogger.pdf / zdnet.de)
Keine Kommentare:
Kommentar veröffentlichen