Onderzoekers hebben een Trojaans paard ontwikkeld dat wachtwoorden en andere vertrouwelijke informatie via de bewegingssensor kan stelen. De TapLogger, zoals de malware door de makers wordt genoemd, gebruikt hiervoor de accelerometer en bewegingssensoren van de smartphone. Die zijn namelijk niet door het Androids beveiligingsmodel afgeschermd, wat betekent dat alle applicaties erbij kunnen.

Als er bijvoorbeeld een wachtwoord wordt ingevoerd, dan vindt er een subtiele beweging plaats die het apparaat kan waarnemen. Aan de hand van de bewegingen, bijvoorbeeld bij het 'tappen' op het touchscreen, kan de malware een patroon identificeren.

Patroon
De malware doet zich in eerste instantie voor als een spelletje memorie, waarbij spelers dezelfde afbeeldingen op het scherm moeten aanraken. Deze stap is nodig, omdat de bewegingen voor elke gebruiker en toestel verschillen. Heeft het Trojaanse paard voldoende data verzameld, dan kan de malware het 'tapgedrag' van de gebruiker gaan monitoren.

"Hoewel het aantal applicaties dat mobiele sensoren gebruikt explosief groeit, worden de veiligheids- en privacyproblemen die bij dit soort applicaties komen kijken nog niet goed begrepen", aldus de onderzoekers in hun rapport. Die merken tevens op dat er in het verleden al vaker aanvallen via sensoren zijn gedemonstreerd.