Auch scheinbar nicht sicherheitsrelevante Sensordaten können dafür verwendet werden, um relativ genau und sicher einen Sperrcode eines Gerätes zu erraten. Das haben jetzt Forscher aus Singapur nachgewiesen. Mit den ausgelesenen Daten und Machine Learning konnten die Forscher Geräte mit nur drei Versuchen entsperren.
Für die Untersuchung haben die Forscher der Nanyang Technological University (NTU) sechs verschiedene Androdid-basierte Modellen untersucht. Und haben Passwörter mit vier Stellen vergeben. Anschließend wurden die Sensordaten ausgelesen, wenn diese Passwörter eingegeben wurden. Je nachdem welche Zahl auf der Tastatur eingegeben wird, wird das Gerät unterschiedlich gehalten oder der Bildschirm abgedunkelt.
Mit einer Genauigkeit von 99,5 Prozent wurden dann die Geräte mit drei Versuchen frei geschalten, wenn dafür gängige Kombinationen gewählt werden. Doch könnten auch komplexere Passwörter auf diese Weise erraten werden.
Bei der NTU-Studie wurden die Daten aus dem Gyroskop, dem Magnetometer, dem Näherungssensor, dem Barometer, dem Accelerometer und dem Sensor für Umgebungslicht ausgelesen.
Eine vergleichbare Studie wurde bereits im vergangenen Jahr von der Universität Newcastle durchgeführt. Dabei wurden beim ersten Versuch immerhin eine Genauigkeit von 70 Prozent erreicht. Mit fünf Versuchen lag die Genauigkeit bei 100 Prozent.
„Hält man das Gerät und tippt die PIN ein, dann ist die Bewegung an dem Gerät anders, wenn man eine 1, 5 oder 9 eingibt“, erklärt Shivam Bhasin, der zusammen mit den Forschern David Berend und Bernhard Jungk, die Forschung durchgeführt hatte.
Diese Sensordaten werden durch das Betriebssystem nicht besonders geschützt und im Grunde kann jede App auf diese Informationen ohne Einschränkungen zugreifen. Hacker könnten auf diese Weise eine bösartige App entwickeln, die von tausenden Nutzern die Code-Eingabe mitschneidet und die Werte der Sensoren abgleicht. Nach einer Analyse dieser Daten, wären die Hacker in der Lage, praktisch jeden Geräteschutz zu knacken. Daher, so raten die Wissenschaftler, sollten die Hersteller mehr Augenmerk auf den Schutz dieser Sensordaten legen. Zudem sollten längere Passwörter oder andere Sicherheitsmerkmale wie ein Fingerabdrucksensor die Geräte vor Zugriff schützen.
Neben der Gefahr, dass die Daten für das Auslesen von Passwörtern verwendet werden könnte, verraten diese Sensoren viel über die Gewohnheiten der Nutzer.
[mit Material von Matthew Broersma, Silicon.co.uk]
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…