Wetenschappers hebben een nieuwe aanval ontwikkeld waardoor Android-apps pincodes kunnen stelen, bijvoorbeeld van mobiel bankieren, door via de camera naar het gezicht van de gebruiker te kijken. Naast de camera wordt ook de microfoon gebruikt om naar clicks tijdens het typen te luisteren.
Eerder onderzoek liet al zien dat het mogelijk was om pincodes via de versnellingsmeter en gyroscoop te achterhalen en nu blijkt dat ook de camera hiervoor geschikt is. Via de camera is het mogelijk om naar het gezicht te kijken als de gebruiker tijdens het invoeren van de pincode zijn telefoon beweegt. De onderzoekers, die hun aanval PIN Skimmer noemen, kunnen zo de oriëntatie van de smartphone bepalen en die correleren aan de positie van het getal dat de gebruiker intikt.
Voordat ingetikte pincodes zijn te achterhalen ontwikkelden de onderzoekers een Android-app die oriëntatiepatronen verzamelt. Hiervoor wordt de gebruiker verleid tot het aanraken van smileys op het scherm die zich op precies dezelfde plek bevinden als de cijfers die bij een pincode worden gebruikt. Vervolgens worden deze gegevens gebruikt om patronen te herkennen die het later mogelijk maken om ingevoerde pincodes te detecteren.
Bij een test van 50 viercijferige pincodes wist PIN Skimmer meer dan 30% van de pincodes na twee pogingen te achterhalen. Na vijf pogingen was dit tot 50% opgelopen. Tijdens een test met 200 achtcijferige pincodes wist PIN Skimmer na vijf pogingen 45% van de pincodes correct te raden en 60% na tien pogingen.
Volgens de onderzoekers is het lastig om dit soort "side-channel" aanvallen op het invoeren van pincodes te voorkomen. Het onderzoek is vooral bedoeld om bewustzijn te genereren over hoe moeilijk het is om een "trusted path" voor de invoer van codes te ontwikkelen.
Ontwikkelaars moeten dan ook met dit soort "aanvalskanalen" rekening houden. Daar komt bij dat het probleem wordt vergroot doordat besturingssystemen zoals Android continu van nieuwe features en diensten worden voorzien, aldus de onderzoekers.
Deze posting is gelocked. Reageren is niet meer mogelijk.