70% Genauigkeit beim 1. Versuch
Verräterische Gerätebewegungen: Smartphone-Sensoren geben PIN-Codes preis
„How criminals can steal your PIN by tracking the motion of your phone“ – Zwar trägt die Überschrift, unter der die Security Experten der Newcastle University jetzt über ihre Analyse aktueller Smartphone-Sensoren berichten etwas dick auf, die Forschungsergebnisse können sich aber dennoch sehen lassen.
So berichtet der Sicherheits-Forscher Dr. Maryam Mehrnezhad jetzt über eine weitgehend übersehene Eigenschaft der auch im iPhone verbauten Bewegungssensoren: Behält man deren Messergebnisse bei der Touchscreen-Eingabe von PIN-Codes im Blick, lassen sich die eingetippten Codes mit relativ großer Treffsicherheit ermitteln.
Nach Angaben der Newcastle University, die ihre Forschungsergebnisse jetzt im „Iternational Journal of Information Security“ veröffentlicht hat, können einfache vierstellige Zahlencodes mit einer Treffsicherheit von 70% erkannt werden. Gesteht man dem System die Ausgabe der wahrscheinlichsten fünf Codes zu, ist die eingegebene PIN mit hundertprozentiger Sicherheit unter der Handvoll ermittelter Kombinationen.
The study found that each user touch action – clicking, scrolling, holding and tapping – induces a unique orientation and motion trace. So on a known webpage, the team were able to determine what part of the page the user was clicking on and what they were typing.
Im Gegensatz zum Zugriff auf GPS-Sensor, Kamera und Mikrofon können Drittanwendungen und Browser die von den Sensoren erfassten Geräte-Bewegungen ohne Nachfrage auslesen.
Wenn ihr euch mit den im iPhone verbauten Sensoren auseinandersetzen wollt, dann schaut euch unbedingt unseren App-Geheimtipp Phyphox an!
Das ist aber selten, daß hier ein Video nicht zum Ansehen empfohlen wird. ;-)
Dachte ich mir auch gerade
Erschreckend!
Einfach einen wirklich sicheren Code wählen und fertig ist die Methode. In den meisten Fällen setzten doch eh mittlerweile alle auf Touch-ID sodass man den sicheren PIN nur sehr selten benötigt…
Zumal bei den aktuellen iOS Geräten mittlerweile 6stellige Codes angefordert werden, falls man mal wirklich nicht per TouchID weiterkommt
Ich kann bei mir immer noch auf 4 Stellen umschalten
zumal du dies jederzeit auf einen vierstelligen code abändern kannst
Richtig!
Das Demo-Video ist nicht sehenswert, da es völlig aussage- und inhaltslos ist…
Wer hätte das gedacht… nicht.
Es gibt Apps, die auch im Hintergrund auf die Daten der Beschleunigungssensoren zugreifen können. Wie zum Beispiel die App „Moves“, die auch auf dem iPhone 5 (das keinen Schrittzähler besitzt) im Hintergrund Schritte zählen kann.
Es wäre interessant zu wissen, ob sich auf diese Weise PINs aus anderen Apps ermitteln ließen.
Vor allem : „Nicht sehenswert“ aber dennoch da!
Fingerabdruck :)
Interessant, wenn es auch eher akademische Probleme sind.
Nicht erwähnt wird, das der Zugriff auf die anderen iPhone Daten nicht erlaubt sind und so eine Schnüffelapp zwar PINS auslesen könnte, aber nicht weiß, ob es die Zugangspin zum Hand, die zur Bank etc. ist.
Um gefährlich zu sein, müsste also der Nutzer beobachtet werden und dann sind wir bei Geheimdiensten oder persönlichem Target und da ist es dann wieder egal.
Nix neues und seit Jahren bekannt. Hauptgrund dafür warum bis heute kein Smartphone/Tablet basiertes Kassensystem ohne separates Hardware Pinpad auskommt.