image

Android-app kan pincodes via camera stelen

zondag 10 november 2013, 16:00 door Redactie, 5 reacties

Wetenschappers hebben een nieuwe aanval ontwikkeld waardoor Android-apps pincodes kunnen stelen, bijvoorbeeld van mobiel bankieren, door via de camera naar het gezicht van de gebruiker te kijken. Naast de camera wordt ook de microfoon gebruikt om naar clicks tijdens het typen te luisteren.

Eerder onderzoek liet al zien dat het mogelijk was om pincodes via de versnellingsmeter en gyroscoop te achterhalen en nu blijkt dat ook de camera hiervoor geschikt is. Via de camera is het mogelijk om naar het gezicht te kijken als de gebruiker tijdens het invoeren van de pincode zijn telefoon beweegt. De onderzoekers, die hun aanval PIN Skimmer noemen, kunnen zo de oriëntatie van de smartphone bepalen en die correleren aan de positie van het getal dat de gebruiker intikt.

Patroon

Voordat ingetikte pincodes zijn te achterhalen ontwikkelden de onderzoekers een Android-app die oriëntatiepatronen verzamelt. Hiervoor wordt de gebruiker verleid tot het aanraken van smileys op het scherm die zich op precies dezelfde plek bevinden als de cijfers die bij een pincode worden gebruikt. Vervolgens worden deze gegevens gebruikt om patronen te herkennen die het later mogelijk maken om ingevoerde pincodes te detecteren.

Bij een test van 50 viercijferige pincodes wist PIN Skimmer meer dan 30% van de pincodes na twee pogingen te achterhalen. Na vijf pogingen was dit tot 50% opgelopen. Tijdens een test met 200 achtcijferige pincodes wist PIN Skimmer na vijf pogingen 45% van de pincodes correct te raden en 60% na tien pogingen.

Bewustzijn

Volgens de onderzoekers is het lastig om dit soort "side-channel" aanvallen op het invoeren van pincodes te voorkomen. Het onderzoek is vooral bedoeld om bewustzijn te genereren over hoe moeilijk het is om een "trusted path" voor de invoer van codes te ontwikkelen.

Ontwikkelaars moeten dan ook met dit soort "aanvalskanalen" rekening houden. Daar komt bij dat het probleem wordt vergroot doordat besturingssystemen zoals Android continu van nieuwe features en diensten worden voorzien, aldus de onderzoekers.

Image

Reacties (5)
10-11-2013, 18:09 door SPlid
DUS : smartphone op een plat oppervlakte neerleggen en goed fixeren daarna pas de pincode intoetsen .
En hoe je de pincode kunt achterhalen door naar de clicks te luisteren, kan volgens mij alleen maar als er echte clicks in het spel zijn, dus bv. BlackBerry. bij een virtueel keybord komen de clicks door een speaker die zich altijd op gelijke afstand van de microfoon bevind .
10-11-2013, 18:21 door golem - Bijgewerkt: 10-11-2013, 18:24
Als je de link volgt en het onderzoek leest zie je dat het niet via clicks gaat, maar mbv vibraties.
10-11-2013, 22:54 door Anoniem
DUS: Tijdens het intypen van een (pin-)code met een vinger de front-cam afdekken
11-11-2013, 11:38 door Anoniem
Door Anoniem: DUS: Tijdens het intypen van een (pin-)code met een vinger de front-cam afdekken
Standaard afplakken lijkt me een beter advies...
11-11-2013, 21:39 door Paul1983
Camera afplakken, je toets tonen uitschakelen, zo dat ze niet de toets geluiden kunnen registreren. En vooral niet je pincode uitspreken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.