"De bewegingssensoren die in smartphones zijn ingebed, kunnen aanvallers een manier bieden om beveiligingspincodes af te leiden, hebben onderzoekers van de Universiteit van Newcastle ontdekt.
De smartphones van vandaag worden volgepropt met deze sensoren, variërend van bekende zoals GPS-, camera-, microfoon- en vingerafdruklezers, maar ook versnellingsmeters, gyroscopen, omgevingslichtsensoren, magnetometers, nabijheidssensoren, barometers, thermometers en luchtvochtigheidssensoren. – om maar een paar van de naar schatting 25 best uitgeruste modellen te noemen.
Dat zijn veel gegevens waarop een frauduleuze app of kwaadaardige website zich moet richten, waarvan een groot deel niet wordt gedekt door een consistent toestemmings- of meldingssysteem.
Het onderzoek van Newcastle University concentreerde zich op de sensoren die de oriëntatie, beweging en rotatie van een apparaat registreren en die, zo stelde het team, zouden kunnen worden gebruikt om specifieke aanraakacties te onthullen.
Bij de methodologie moesten tien smartphonegebruikers vijf keer vijftig testpincodes van vier cijfers invoeren op een webpagina, die gegevens opleverden om het neurale netwerk te trainen dat werd gebruikt om de pincodes te raden.
Uiteindelijk raadde het netwerk bij de eerste poging maar liefst 70% van de tijd de juiste pincode. Bij de vijfde gok bereikte het succespercentage 100%.
Ter vergelijking: het team gaat ervan uit dat een willekeurige gok van een viercijferige pincode (uit 10.000 mogelijkheden) slechts 2% van de tijd gelijk heeft bij de eerste keer en 6% van de tijd bij gok drie.
Dat is een indrukwekkend gokpercentage. Moeten smartphonegebruikers zich dus zorgen maken?
Op de korte termijn niet echt. Om het neurale netwerk te trainen om dit nauwkeurigheidsniveau te bereiken, was een grote hoeveelheid trainingsgegevens nodig – 250 pincodes per beoogde gebruiker – waarop conclusies konden worden gebaseerd over de toetsen die individuen hadden aangeraakt.
Het verzamelen van elk van deze pincodes kon alleen onder specifieke omstandigheden worden bereikt, bijvoorbeeld als een aanvaller een frauduleuze app draaide of de gebruiker naar een website had gelokt met kwaadaardige JavaScript-code op een tabblad dat open bleef terwijl hij een pincode op een andere site invoerde.
Onder reële omstandigheden zou dit behoorlijk moeilijk te realiseren zijn. Hoe het ook zij, zo wijst het team erop dat tot een kwart van de smartphonegebruikers pincodes kiest uit een voorspelbare set van twintig gemeenschappelijke reeksen, zoals 1234, 0000 of 1000, waardoor geavanceerd neuraal pincodes raden overdreven zou kunnen zijn.
Wat het onderzoek ons vertelt, is dat de manier waarop iemand een smartphone vasthoudt, klikt, scrollt en tikt, gegevens genereert die niet zo onleesbaar of willekeurig zijn als mensen waarschijnlijk denken.
De hoofdauteur van het onderzoek, dr. Maryam Mehrnezhad, zei: “We schreeuwen allemaal om de nieuwste telefoon met de nieuwste functies en een betere gebruikerservaring, maar omdat er geen uniforme manier is om sensoren in de hele sector te beheren, vormen ze een reële bedreiging voor onze persoonlijke veiligheid. "
Eén oplossing zou zijn om de sensormachtigingen uit te breiden, zodat gebruikers kunnen zien wanneer een kwaadwillende site of app er toegang toe heeft. Maar er zitten er nu zo veel in smartphones dat dit kan leiden tot overbelasting van meldingen.
De andere suggesties van het team – regelmatig pincodes wijzigen, app-machtigingen controleren vóór installatie, achtergrondtabbladen en apps sluiten – zijn goed, maar zullen waarschijnlijk niet veel indruk maken op de gemiddelde smartphonegebruiker als je de geschiedenis van beveiligingsadviezen mag volgen.
Als alternatief zouden mensen eenvoudigweg langere pincodes kunnen gebruiken of, beter nog, de industrie zou deze helemaal kunnen laten varen (zoals elders wordt gedaan) ten gunste van betere beveiligingsopties. Gebruikers houden van pincodes, maar zoals de clou luidt: hun dagen zijn zeker geteld."
Bron: John E Dunn, Nakedsecurity.sophos.com