image

JavaScript-keylogger kan pincode Androidtelefoons stelen

dinsdag 11 april 2017, 12:12 door Redactie, 5 reacties

Onderzoekers van de Universiteit van Newcastle hebben een manier ontwikkeld hoe ze via kwaadaardige websites en een JavaScript-keylogger de pincode van Androidtelefoons kunnen stelen. Voor hun aanval maken de onderzoekers gebruik van de sensoren waarover een mobiele telefoon beschikt.

Het gaat dan om bijvoorbeeld de versnellingsmeter, gyroscoop en bewegingssensor. Deze sensoren zijn via de browser toegankelijk en vereisen geen aanvullende permissies. De manier waarop mensen hun telefoon vasthouden bij het invoeren van hun pincode kan zodoende door een JavaScript-keylogger, die op een website wordt verborgen, worden uitgelezen. Aan de hand van de verzamelde sensorgegevens en een kunstmatig neuraal netwerk is de pincode te achterhalen. Bij een viercijferige pincode scoorden de onderzoekers tijdens de eerste poging een succespercentage van bijna 83 procent. Bij de tweede en derde poging stijgt dit respectievelijk naar 96,2 procent en 99,5 procent, zo blijkt uit het onderzoek (pdf).

"Het hoge succespercentage bij het stelen van pincodes op mobiele toestellen via JavaScript duidt op een serieuze dreiging voor de veiligheid van gebruikers", zo stellen de onderzoekers. Ze merken op dat het lastig is om dergelijke aanvallen te stoppen. Daarnaast verwachten de onderzoekers dat het probleem in de toekomst alleen maar groter zal worden. Op dit moment is de toegang tot sensorgegevens via JavaScript tot een paar sensoren beperkt, maar dit zullen er in de toekomst waarschijnlijk meer worden.

Reacties (5)
12-04-2017, 09:25 door Anoniem
blijft javascript draaien na locken dan?
12-04-2017, 09:32 door Anoniem
Het is echt wachten op de 'onLick' functionaliteit. Inloggen met je tong. (Ooit een 1 april grap, nu bijna werkelijkheid).
12-04-2017, 10:14 door yobi
Over de schouder meekijken is natuurlijk veel makkelijker.
12-04-2017, 11:03 door karma4
Cross site scripting via side channels.
Heb je iets met de ene verbinding open dan luistert een ander mee. Geen software attack. Maar gebruik van de Sensors op de zelfde fysieke omgeving. Gemis air gap nieuw stijl.
12-04-2017, 15:53 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.