Onderzoekers van de Universiteit van Newcastle hebben een manier ontwikkeld hoe ze via kwaadaardige websites en een JavaScript-keylogger de pincode van Androidtelefoons kunnen stelen. Voor hun aanval maken de onderzoekers gebruik van de sensoren waarover een mobiele telefoon beschikt.
Het gaat dan om bijvoorbeeld de versnellingsmeter, gyroscoop en bewegingssensor. Deze sensoren zijn via de browser toegankelijk en vereisen geen aanvullende permissies. De manier waarop mensen hun telefoon vasthouden bij het invoeren van hun pincode kan zodoende door een JavaScript-keylogger, die op een website wordt verborgen, worden uitgelezen. Aan de hand van de verzamelde sensorgegevens en een kunstmatig neuraal netwerk is de pincode te achterhalen. Bij een viercijferige pincode scoorden de onderzoekers tijdens de eerste poging een succespercentage van bijna 83 procent. Bij de tweede en derde poging stijgt dit respectievelijk naar 96,2 procent en 99,5 procent, zo blijkt uit het onderzoek (pdf).
"Het hoge succespercentage bij het stelen van pincodes op mobiele toestellen via JavaScript duidt op een serieuze dreiging voor de veiligheid van gebruikers", zo stellen de onderzoekers. Ze merken op dat het lastig is om dergelijke aanvallen te stoppen. Daarnaast verwachten de onderzoekers dat het probleem in de toekomst alleen maar groter zal worden. Op dit moment is de toegang tot sensorgegevens via JavaScript tot een paar sensoren beperkt, maar dit zullen er in de toekomst waarschijnlijk meer worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.