Sikkerhedsforskere: Dårligt kontrolleret gyroskop-data kan afsløre pinkode

Din telefons pinkode kan aflæses i måden du bevæger den, når koden indtastes, mener forskere.

Måden du vender og drejer din telefon, når du indtaster din pinkode, kan afsløre koden for hackere, mener forskere.

Ved at aflæse telefonens indbyggede gyroskop er det lykkedes for et hold dataloger på Newcastle University at gætte en firecifret pinkode rigtig første gang med 70 procent sikkerhed. Med fem forsøg steg sikkerheden til 100 procent, skriver The Guardian.

Læs også: Stort sikkerhedshul i wifi-chips i både Android og iOS enheder

Angrebet er vanskeligt at overføre på den virkelige verden, fordi det kræver en baseline af brugerdata, før systemet præcist kan vurdere, hvad der bliver tastet.

Men teknikken understreger, at der er dårlig kontrol med adgangen til telefonens væld af sensorer, der foruden GPS, kamera og mikrofon ofte også tæller gyroskop og accelerometer, forklarer Maryam Mehrnezhad, der er en af forskerne bag studiet.

»Fordi mobil-apps og websites ikke behøver at bede om adgang til de fleste af dem [sensorer red.], kan ondsindede programmer skjult lytte med på din sensor-data og bruge dem til at opdage en bred række af sensitive informationer om dit, som hvornår du ringer, fysiske aktiviteter og selv touch-handlinger, pinkoder og kodeord,« siger han til The Guardian.

Læs også: Halvdelen af alle Android-enheder er ikke blevet opdateret i over et år

Hvis en app vil bruge telefonens placering eller kamera, skal du give den eksplicit tilladelse. Hvis app'en vil bruge telefonens orientering (vinkling, red.), bliver du ikke spurgt. Men sensorer som gyroskopet gør uvedkommende i stand til at aflæse om du scroller, tapper eller holder telefonen, fortæller Maryam Mehrnezhad.

Med den viden kunne forskerholdet vurdere for en specifik hjemmeside, hvilken del af siden brugeren interagerede med.

Læs også: Din telefons batteriniveau kan afsløre din identitet online

The Guardian sammenligner problematikken med en funktion i HTML5, der giver hjemmesider mulighed for at aflæse batteriniveauet på brugerens telefon uden samtykke. Ideen med funktionen var at hjemmesiderejere kunne tilbyde en strømsparende version af siden til brugere, der var ved at løbe tør for batteri.

En forskningsartikel kunne i 2015 dokumentere, at batteriinformation udgjorde så effektiv en bruger-ID, at dataen kunne bruges til at tracke brugeren på tværs af fx browserens inkognito-tilstand og normal-tiltand.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017