Android: Bewegungssensor lässt sich für PIN-Klau missbrauchen

Wissenschaftler der Pennsylvania State University und von IBM haben nachgewiesen, dass sich Bewegungssensoren in Smartphones nutzen lassen, um eine eingegebene PIN zu erraten. Sie erstellten dazu einen Trojaner namens TapLogger für Android und veröffentlichten ihre Ergebnisse in einer Studie (PDF).

TapLogger baut durch einen „Trainingsmodus“ eine Datenbank auf: 30 Durchgänge eines Spiels, in dem der Anwender Symbole zuordnen muss, bringen ihm 400 „Tap-Events“, die er mit den gleichzeitigen Sensor-Schwankungen korreliert. Werden später etwa Passwörter oder PINs über Touchscreen eingegeben, kann der Trojaner das Muster nutzen, um auf die Zeichenfolge zu schließen.

Smartphone-Apps für Android benötigen – anders als bei der Internetverbindung oder dem Adressbuch – keine besonderen Rechte, um auf die Sensoren des Geräts zuzugreifen. Die Forscher glauben, dass sich durchaus eine ähnliche App für iOS entwickeln ließe. Es sei auch möglich, aus der geringfügigen Bewegung des Smartphones auf den angetippten Bereich zu schließen, speziell wenn man Kontextdaten vorliegen habe und etwa die Position der Zifferntasten bei einer PIN-Eingabe kenne.

Forscher der University of California hatten im Vorjahr eine ähnliche Studie und ein ähnlich benanntes Programm vorgestellt: TouchLogger (PDF). TapLogger verbessert diesen Vorgänger, indem es einen Trainingsmodus integriert, mehr Sensordaten auswertet und die gesammelten Daten mit zwei praktischen Angriffen verbindet: dem Erraten der Geräte-PIN und einer Kreditkarten-PIN.

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.