Dansk sikkerhedsspecialist i frontalangreb mod Androids unlock-mekanisme
Det virker som et smart gimmick, når den nye HTC Desire-telefon med Android-styresystemet gør op med pinkode-tyranniet. Aldrig mere skal man kløjes i at huske fire cifre i den rigtige rækkefølge, for som ny unlock-mekaniske skal man i stedet forbinde fire prikker i et 3x3-grid i den rigtige rækkefølge.
Men metoden er usikker og nem at hacke. Chefsikkerhedsspecialist Carsten Eiram fra det danske sikkerhedsfirma Secunia beskriver i et nyt blogindlæg således, hvordan han ud fra ganske få overvejelser kunne 'hacke' sig ind på sin kollegas nye HTC Desire uden at kende mønsteret på forhånd.
»Kombinationen skal mindst bestå af fire prikker, men det er desværre ikke muligt at genbruge en prik. Dette reducerer antallet af forskellige måder at forbinde prikker på betydeligt. Når man tager i betragtning, at de fleste højrehåndede vil starte tegningen fra venstre side, og de fleste brugere vil vælge en gestus, der 'ligger i håndleddet,' var det ikke usandsynligt at gætte adgangskoden uden de store problemer ? det tog kun fem forsøg,« skriver Carsten Eiram i blogindlægget.
Samtidig gør han opmærksom på, at brugerens fedtfingre ofte er med til at afsløre det valgte mønster.
»Jeg kiggede på skærmen og noterede mig de afsatte mærker. Under normal brug trykker man på skærmen, trækker op og ned, eller trækker fra side til side. Der er god sandsynlighed for, at enhver anden fedtfingerstreg kan være fra unlock-mønsteret. Det viste sig også at være en simpel, men effektiv tilgang til at få adgang til telefonen. Glem ikke at tørre skærmen af efter brug!« lyder det gode råd fra Carsten Eiram.
Endelig noterer han sig en mere sofistikeret måde at lure et unlock-mønster på ? dog næppe en metode, potentielle hackere bør sætte deres lid til.
»Jeg fakede, at jeg var meget interesseret i telefonen, og da jeg blev præsenteret for skærmlåsen, spurgte jeg ind til, hvordan den mon fungerede. Telefonen ejer svarede: 'Årh, du skal bare forbinde de rigtige prikker med hinanden', mens han ubevidst lavde en gestus med sin finger, der svarede til det valgte mønster. Efterfølgende væddede jeg med ham, om jeg kunne skaffe mig adgang til hans telefon, hvilket han ikke troede jeg kunne ? han tog fejl,« lyder den lakoniske slutkommentar fra Carsten Eiram.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.