"De bewegingssensoren die in smartphones zijn ingebed, kunnen aanvallers een manier bieden om beveiligings-PINs af te leiden, hebben onderzoekers van de Universiteit van Newcastle ontdekt."
De smartphones van vandaag zijn volgestopt met deze sensoren, die variëren van bekende zoals GPS, camera, microfoon en vingerafdruklezers, maar ook versnellingsmeters, gyroscopen, omgevingslichtsensoren, magnetometers, nabijheidssensoren, barometers, thermometers en luchtvochtigheidssensoren omvatten – om er maar een paar te noemen van de geschatte 25 in de best uitgeruste modellen.
Dat is een hoop data waar een rogue-app of kwaadaardige website zich op kan richten, waarvan veel niet wordt gedekt door een consistent systeem van machtigingen of meldingen.
De studie van de Universiteit van Newcastle richtte zich op de sensoren die de oriëntatie, beweging en rotatie van een apparaat registreren, waarvan het team theoriseerde dat ze gebruikt konden worden om specifieke aanrakingacties te onthullen.
De methodologie omvatte 10 smartphonegebruikers die elk 50 viercijferige test-PINs vijf keer invoerden op een webpagina, die gegevens leverde om het neuraal netwerk te trainen dat werd gebruikt om de PINs te raden.
In het evenement raadde het netwerk de juiste PIN bij de eerste poging indrukwekkende 70% van de tijd. Bij de vijfde gok bereikte het succespercentage 100%.
Ter vergelijking, het team schat dat een willekeurige gok van een viercijferige PIN (uit 10.000 mogelijkheden) slechts een kans van 2% heeft om de eerste keer goed te zijn en 6% van de tijd bij de derde gok.
Dat is een indrukwekkend gokpercentage – moeten smartphonegebruikers zich zorgen maken?
Op de korte termijn, niet echt. Het trainen van het neurale netwerk om dit niveau van nauwkeurigheid te bereiken vereiste een grote hoeveelheid trainingsdata - 250 PIN's per doelgebruiker - waarop het zijn inferenties kon baseren over welke toetsen individuen hadden aangeraakt.
Het verzamelen van elk van die PIN-codes kon alleen onder specifieke voorwaarden worden bereikt, zoals wanneer een aanvaller een kwaadaardige app uitvoerde of de gebruiker had gelokt naar een website die kwaadaardige JavaScript-code uitvoerde in een tabblad dat open bleef terwijl ze een PIN op een andere site invoerden.
Onder reële omstandigheden zou dit behoorlijk moeilijk te realiseren zijn. In ieder geval wijst het team erop dat tot een kwart van de smartphonegebruikers PIN-codes kiest uit een voorspelbare set van 20 veelvoorkomende reeksen zoals 1234, 0000 of 1000, dus geavanceerd neurale PIN-gokken zou overbodig kunnen zijn.
Wat de studie ons vertelt, is dat de manier waarop iemand een smartphone vasthoudt, klikt, scrolt en tikt gegevens genereert die niet zo ondoorgrondelijk of willekeurig zijn als mensen waarschijnlijk denken.
De hoofdauteur van de studie, Dr. Maryam Mehrnezhad, zei: "We verlangen allemaal naar de nieuwste telefoon met de nieuwste functies en een betere gebruikerservaring, maar omdat er geen uniforme manier is om sensoren in de industrie te beheren, vormen ze een reëel gevaar voor onze persoonlijke veiligheid."
Een oplossing zou zijn om de sensorpermissies uit te breiden, zodat gebruikers kunnen zien wanneer een kwaadaardige site of app toegang tot hen krijgt. Maar er zijn nu zoveel van deze sensoren in smartphones dat dit kan leiden tot een overload aan meldingen.
"De andere suggesties van het team – wijzig regelmatig je pincode, controleer app-machtigingen voor installatie, sluit achtergrondtabbladen en apps – zijn goed, maar zullen waarschijnlijk niet veel indruk maken op de gemiddelde smartphonegebruiker als de geschiedenis van beveiligingsadvies iets zegt."
"Alternatief zouden mensen gewoon langere PIN-codes kunnen gebruiken of, nog beter, de industrie zou ze helemaal kunnen afschaffen (zoals elders gebeurt) ten gunste van betere beveiligingsopties. Gebruikers houden van PIN-codes, maar zoals de grap gaat, hun dagen zijn zeker geteld."
Bron: John E Dunn, nakedsecurity.sophos.com