Auch scheinbar nicht sicherheitsrelevante Sensordaten können dafür verwendet werden, um relativ genau und sicher einen Sperrcode eines Gerätes zu erraten. Das haben jetzt Forscher aus Singapur nachgewiesen. Mit den ausgelesenen Daten und Machine Learning konnten die Forscher Geräte mit nur drei Versuchen entsperren.
Für die Untersuchung haben die Forscher der Nanyang Technological University (NTU) sechs verschiedene Androdid-basierte Modellen untersucht. Und haben Passwörter mit vier Stellen vergeben. Anschließend wurden die Sensordaten ausgelesen, wenn diese Passwörter eingegeben wurden. Je nachdem welche Zahl auf der Tastatur eingegeben wird, wird das Gerät unterschiedlich gehalten oder der Bildschirm abgedunkelt.
Mit einer Genauigkeit von 99,5 Prozent wurden dann die Geräte mit drei Versuchen frei geschalten, wenn dafür gängige Kombinationen gewählt werden. Doch könnten auch komplexere Passwörter auf diese Weise erraten werden.
Bei der NTU-Studie wurden die Daten aus dem Gyroskop, dem Magnetometer, dem Näherungssensor, dem Barometer, dem Accelerometer und dem Sensor für Umgebungslicht ausgelesen.
Eine vergleichbare Studie wurde bereits im vergangenen Jahr von der Universität Newcastle durchgeführt. Dabei wurden beim ersten Versuch immerhin eine Genauigkeit von 70 Prozent erreicht. Mit fünf Versuchen lag die Genauigkeit bei 100 Prozent.
„Hält man das Gerät und tippt die PIN ein, dann ist die Bewegung an dem Gerät anders, wenn man eine 1, 5 oder 9 eingibt“, erklärt Shivam Bhasin, der zusammen mit den Forschern David Berend und Bernhard Jungk, die Forschung durchgeführt hatte.
Diese Sensordaten werden durch das Betriebssystem nicht besonders geschützt und im Grunde kann jede App auf diese Informationen ohne Einschränkungen zugreifen. Hacker könnten auf diese Weise eine bösartige App entwickeln, die von tausenden Nutzern die Code-Eingabe mitschneidet und die Werte der Sensoren abgleicht. Nach einer Analyse dieser Daten, wären die Hacker in der Lage, praktisch jeden Geräteschutz zu knacken. Daher, so raten die Wissenschaftler, sollten die Hersteller mehr Augenmerk auf den Schutz dieser Sensordaten legen. Zudem sollten längere Passwörter oder andere Sicherheitsmerkmale wie ein Fingerabdrucksensor die Geräte vor Zugriff schützen.
Neben der Gefahr, dass die Daten für das Auslesen von Passwörtern verwendet werden könnte, verraten diese Sensoren viel über die Gewohnheiten der Nutzer.
[mit Material von Matthew Broersma, Silicon.co.uk]
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.