Android: Bewegungssensor lässt sich für PIN-Klau missbrauchen

Ein Proof-of-Concept-Trojaner gibt sich als Spiel aus. In einem Trainingsmodus sammelt er Sensordaten. Mit ihrer Hilfe lässt sich später eine PIN erraten. Der Zugriff auf die Sensoren erfordert unter Android keine Freigabe durch den Nutzer.

Wissenschaftler der Pennsylvania State University und von IBM haben nachgewiesen, dass sich Bewegungssensoren in Smartphones nutzen lassen, um eine eingegebene PIN zu erraten. Sie erstellten dazu einen Trojaner namens TapLogger für Android und veröffentlichten ihre Ergebnisse in einer Studie (PDF).

Android-Security

TapLogger baut durch einen „Trainingsmodus“ eine Datenbank auf: 30 Durchgänge eines Spiels, in dem der Anwender Symbole zuordnen muss, bringen ihm 400 „Tap-Events“, die er mit den gleichzeitigen Sensor-Schwankungen korreliert. Werden später etwa Passwörter oder PINs über Touchscreen eingegeben, kann der Trojaner das Muster nutzen, um auf die Zeichenfolge zu schließen.

Smartphone-Apps für Android benötigen – anders als bei der Internetverbindung oder dem Adressbuch – keine besonderen Rechte, um auf die Sensoren des Geräts zuzugreifen. Die Forscher glauben, dass sich durchaus eine ähnliche App für iOS entwickeln ließe. Es sei auch möglich, aus der geringfügigen Bewegung des Smartphones auf den angetippten Bereich zu schließen, speziell wenn man Kontextdaten vorliegen habe und etwa die Position der Zifferntasten bei einer PIN-Eingabe kenne.

Forscher der University of California hatten im Vorjahr eine ähnliche Studie und ein ähnlich benanntes Programm vorgestellt: TouchLogger (PDF). TapLogger verbessert diesen Vorgänger, indem es einen Trainingsmodus integriert, mehr Sensordaten auswertet und die gesammelten Daten mit zwei praktischen Angriffen verbindet: dem Erraten der Geräte-PIN und einer Kreditkarten-PIN.

So lässt sich aus Daten von Bewegungssensoren auf den angetippten Bildschirmbereich schließen (Bild: University of Pennsylvania).
So lässt sich aus Daten von Bewegungssensoren auf den angetippten Bildschirmbereich schließen (Bild: University of Pennsylvania).

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.

Themenseiten: Android, Google, Mobil, Mobile

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Android: Bewegungssensor lässt sich für PIN-Klau missbrauchen

Kommentar hinzufügen
  • Am 24. April 2012 um 10:54 von Hugo Palm

    Im Prinzip ja…
    Aber dagegen hilft ein ganz simpler Trick:
    Das Smartphone auf eine stabile Oberfläche ablegen und schon sind die Sensoren nahezu still.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *