Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 51 reacties
Submitter: Alchiadus

Een groep wetenschappers heeft een manier gevonden om bij smartwatchdragers te achterhalen wat zij typen op een toetsenbord. Hiervoor gebruiken zij informatie van de accelerometer, de gyroscoop en het ritme waarmee wordt getypt.

Onder de naam Motion Leaks, afgekort MoLe, hebben een aantal onderzoekers van de University of Illinois een manier gepresenteerd om woorden die worden ingetypt op een conventioneel toetsenbord te achterhalen. Hoe de methode precies werkt is uiteengezet in een paper dat online is gepubliceerd. Volgens de bedenkers hebben zij een statistisch model gebouwd dat voorspelt welke woorden worden ingetoetst op een toetsenbord bij mensen die een smartwatch dragen. Deze voorspellingen worden gedaan op basis van meetbare informatie, zoals de positie van de pols, die wordt uitgelezen met accelerometer en gyroscoop, de hartslag en het ritme waarmee wordt getypt.

Op basis van de vergaarde informatie voorspelt MoLe uit een lijst van 5000 veelgebruikte Engelse woorden wat er precies wordt ingetypt op een toetsenbord. Spaties kunnen nog niet worden herkend, waardoor het concept beperkt blijft tot individuele woorden. Het is mogelijk dat er in de toekomst een verbeterde versie uitkomt, waardoor bijvoorbeeld ook volledige zinnen achterhaald kunnen worden. Ook kunnen nummers momenteel nog niet worden herkend.

Tegenover Popsci laten de onderzoekers weten dat hun methode nog niet echt geschikt is voor het achterhalen van wachtwoorden. Dat wil echter niet zeggen dat andere mensen daar niet mee bezig zijn, aldus onderzoeker He Wang. Wie bang is voor tracking via smartwatchsensoren kan bijvoorbeeld met zijn smartwatch-loze hand typen, zo adviseren de wetenschappers.

Smartwatch inference

Moderatie-faq Wijzig weergave

Reacties (51)

fix: na ieder woord van keyboardlayout wisselen :+
Of je typt af en toe een verkeerde letter en doet dan backspace.
Ook dat zal geen donder uitmaken, dan herkennen ze dat je een backspace hebt ingetoetst.

Een traditionele keylogger kan dat net zo goed. Waarom deze dan niet?
Omdat je backspace typisch met je rechterhand aanslaat, terwijl een horloge meestal links gedragen wordt?
Of je doet het gewoon net als ik. tijdens het typen af en toe gewoon random op jet toetsen tikken. In zo'n golf beweging zeg maar. Dan lijkt het alsof je wat intoetst, maar da is heul niet zo.

Ook kan je hem natuurlijk af doen als je iets moet schrijven wat sensitieve info bevat.
Serieus? Ga jij zo door het leven? Constant in angst leven voor keyloggers... Wees eens realistisch. Dat is alsof je willekeurige luidop zinnen afleest uit angst dat ze je afluisteren.
Nee dat is niet constant in angst leven voor keyloggers (dat kan me allemaal letterlijk aan mn reet roesten namelijk). Dat heet een lichtelijke vorm van ADD gecombineerd met "Drummers autisme". Alles is een drumstel en ik leef de hele dag met muziek. en als ik even niet weet waar de volgende zin heen moet gaan dan tik ik een beetje op mn toetsen in de hoop dat ik op die manier inspiratie krijg.

Voor mijn passwords gebruik ik een PW manager en mn inlog code gaat via Knock2unlock dus ik hoef mn PW niet eens in te typen.
autofix: Je draagt traditioneel je horloge op je andere arm dan de arm waarmee je schrijft. Of waarmee je een code intypt bijvoorbeeld.
Bewerk: Never mind eerste bericht.

Dan moet je dus wel elke code intypen met de andere hand en niet beide handen, lijkt me.

[Reactie gewijzigd door Sacron op 12 september 2015 19:03]

Alles is te hacken smartwatches ook de beveiliging moet optimaal zijn dat is het punt.
Wetenschappers die het werk doen voor criminelen. Ipv het aan te kaarten en een oplossing aan te bieden presenteren ze op een dienblaadje de manier om in te breken.
Als je met smartwatchsensoren kunt raden wat iemand typt, kun je dat met alleen die sensoren en een klein zendertje of dataopslag ook. En die zou veel kleiner en zuiniger kunnen zijn, en wekenlang draaien op een knoopcel. Zoiets in de manchetknoop of horloge van een "interessant" persoon plaatsen biedt dan weer een nieuwe manier van afluisteren.

Ik zie de hier genoemde smartwatch - op zich al een nieuw doelwit voor cybercriminelen - als handig prototype daarvoor.
Dat klinkt best gevaarlijk, gelukkig gaat het hier dan nog om individuele woorden en worden spaties niet herkend. Wat ik in de tekening zie is dat er ook een woordenboek gebruikt wordt, dus dit is idd niet klaar voor random tekens die een wachtwoord vormen gelukkig.

Wel denk ik dat er 'betere' methodes zijn momenteel, aangezien de markt penetratie van de smartwatch nog veel te laag is. Maar zoals gezegd in de tekst zullen er wellicht al kwaadwillende onderzoekers bezig zijn met iets gevaarlijkers te maken.
Dat klinkt best gevaarlijk,
Dit is een onzinmethode. Je moet bij de sensordata kunnen en dan heb je alweer zoveel rechten op het platform nodig dat je net zo goed het 'keyboard' direct kunt uitlezen.
Als de smartwatch remote te hacken is en het toetsenbord niet is dit al meer dan niks. Zeker bij pc's die niet aan internet hangen vanwege beveiligings redenen kan dit een lek zijn, hoewel ik me afvraag of je bij zo'n pc mag met je smartwatch om en de telefoon in de zak.
Ik denk dat ik het artiekel verkeerd had gelezen.
Dacht dat het ging om textinvoer via de smartwatch. :)
Het gaat er volgens mij om dat je er achter kan komen wat iemand op een fysiek toetsenbord typt dat niet in verbinging staat met de smartwatch, het lijkt me makkelijker om een gemiddelde smart watch te hacken dan een goed beveiligde pc.
Op beide zal je iets moeten installeren om de Keys te loggen. Het idee hierachter Is dat je straks kunt typen op een tafel met alleen je smartwatch. Tevens toont het ook aan dat het mogelijk is om je typgedrag te loggen. Kwestie van kwaadwillende apps vermijden.
Dit is een onzinmethode. Je moet bij de sensordata kunnen en dan heb je alweer zoveel rechten op het platform nodig dat je net zo goed het 'keyboard' direct kunt uitlezen.
Je moet dit soort dingen meer zien als een proof of concept denk ik. Het legt een mogelijke zwakheid bloot van smartwatches op een manier waar voorheen nog niemand aan heeft gedacht en blijkt nog werkzaam ook.

Bovendien kun je met deze methode juist achterhalen wat er getypt is zonder dat je het 'keyboard' direct uitleest. Een eventuele app zal deze rechten dan ook niet hoeven te vragen waardoor het nog minder opvalt. Daar zit een belangrijk verschil met jouw methode.

Al met al zeer interessant als PoC op dit moment als je het mij vraagt.

[Reactie gewijzigd door Bor op 14 september 2015 08:54]

handig maar ze weten dan nog steeds niet waar je het intypt lijkt me
Wat ik me ook afvraag is hoe ze uberhaupt weten wat je intypt, met slechts de beschikbaarheid over de helft van de informatie. Het horloge hangt maar aan 1 hand, dan weten ze toch niet wat die andere hand typt? Of is dit alleen een proof-of-concept voor gevallen waarin alleen met de horloge-hand wordt getypt?
Dit is inderdaad meer een proof-of-concept, immers het gaat sowieso om losse woorden welke eerst ook nog eens afgezet worden tegen een woordenlijst waarin slechts de meest gebruikte woorden staan, vervoegingen of verkleinwoordjes zorgen waarschijnlijk al voor een mismatch. Verre van bruikbaar dus!
Als hacker wil je zoveel mogelijk informatie verzamelen over het slachtoffer/de machine. Als je van één hand kan bepalen welke letters er worden getypt kan je bijvoorbeeld bij een bruteforce aanval al een heel groot deel van de mogelijke combinaties uitsluiten, en met een beetje mazzel zelfs het complete wachtwoord bepalen.
gma
svenn
mijnsuperpawo0rd
hey, ik heb een meeting ...
3 keer raden ;-)
Er is niet eens een toetsenbord op een SmartWatch? :/
Ze hebben het dan ook over typen op een gewoon toetsenbord. Via de smartwatch volgen ze de beweging van je pols, omdat die verschilt per toets die je indrukt.. :)

[Reactie gewijzigd door Joboy op 12 september 2015 12:06]

Da's nou juist de crux van dit artikel: ieder toetsenbord wat je gebruikt is af te luisteren via je smartwatch
En dat is dus ook meteen het probleem met al die 'smart' apparaten van tegenwoordig. Handig hoor, om overal maar apps op te kunnen installeren en informatie van het internet te kunnen gebruiken. Maar ieder apparaat wat aan het internet hangt is er een die informatie over jou opstuurt naar andere partijen (legaal of niet legaal) en potentieel malware of backdoors kan bevatten.

Hoe weet je zeker dat jouw smart-TV niet naar jou kijkt? Hoe weet je zeker dat alle apps op jouw smart-apparaat te vertrouwen zijn? Om het nog maar niet eens te hebben over de onveiligheid van alle diensten die alles in de cloud opslaan. Cloud wordt ook gehackt (zie de verhalen over gelekte foto's van bekende personen), en daarmee is jouw persoonlijke profiel ineens publiek. Zelfs als je er geen privacy-problemen mee hebt dat Google en Facebook alles over jou weten, wie zegt dat een hacker niet nu al toegang heeft tot hun servers? Ze zullen wellicht een geliefd doelwit zijn.

Daarom ben ik blij met m'n 'domme' TV, 'domme' koelkast, 'domme' thermostaat en de afwezigheid van enige vorm van monitoring-camera's in m'n huis. Voor mij geen smart-apparaten, hoe ouderwets sommige tweakers dat ook zullen vinden.
Maar je zit wel op internet zonder alu-hoedje?
Ik zit op internet op een linux pc met een setje plugins in m'n browser die troep blokkeren, en een flink aantal dns blokkades op de router. Je vergeet een belangrijk verschil tussen computers en smart-apparaten: jij hebt geen controle over smart-apparaten, het is de fabrikant die voor jou bepaald wat je er mee kunt. M'n pc heb ik volledige controle over, waaronder een lijst met geinstalleerde pakketten, die ook (bijna) allemaal te verwijderen zijn als ze me niet aan staan.
Maar ondertussen gaat je internetverkeer nog steeds via je provider, waar de NSA en consorten een dikke vinger in de pap hebben. Begrijp me niet verkeerd hoor, maar zodra het aan internet hangt is je privacy nooit 100% gewaarborgd. Maar goed dat ik niets te verbergen heb :P
Privacy bestaat niet meer. Het mag vreemd klinken, maar waarom zouden we een fuck geven daarover? Je gegevens vallen niet in de handen van criminelen, maar in handen van overheden waar je internet traffic overheen gaat. Ik block standaar alle comm met Russische IP's, omdat die zo corrupt zijn als de pest. Nee, ze vallen in handen van overheden die ze in datacentra stoppen en er daarna nooit meer naar zullen kijken. Jouw data is gewoon een radertje in het big data systeem, meer niet. Geen mens (wel machines) zal jouw data zien. Wat maakt mij het uit? Juist, NIKS. Ik heb niks te verbergen, en ben Jan Modaal met techkennis voor hun. Ik doe geen illegale dingen, hack niet, et cetera et cetera, et cetera...
Zeer mooie blogpost over niets te verbergen hebben.https://decorrespondent.n...erbergen/6428004-ab2d5fc2

[Reactie gewijzigd door sam57 op 12 september 2015 11:20]

Wat ze van jou weten, weten ze dan van iedereen. Dat maakt mensen die wel invloed hebben, denk bijvoorbeeld aan politici, chantabel.
Maar een niet-corrupte regering als Duitsland of de VS doet zo iets buet, daarom blockte ik ook de Russische IP space...
Je weet dat de VS Angela Merkel heeft afgeluisterd?
Voor de tweede wereldoorlog had Nederland er ook een handje vol van om dingen te registreren die niet van belang waren op dat moment maar tijdens de oorlog maakten de Duitsers er handig gebruik van.
Het feit dat er nu geen regering is die het misbruikt en dat je denkt dat de data nu niet uitmaakt omdat je nu niets te verbergen hebt garandeerd niets voor de toekomst. Nederland roept als land hard, samen met andere landen in t westen, dat ze veel geleerd hebben, maar dat valt nog vies tegen...
Wat de definitie is van een 'crimineel' verschilt van plaats tot plaats of jaar tot jaar. In de jaren 40 was de Duitse overheid de crimineel (holocaust). Hoe kun je dan onderscheid maken tussen criminelen en overheid? Over 10 jaar kun je weer een Hitler aan de top krijgen. Niemand weet tenslotte de toekomst.

En of jij illegale dingen doet bepaal jij zelf niet, dat bepalen anderen voor jou. Het is ook niet illegaal om Joods te zijn, en toch hebben miljoenen mensen hun leven daarom verloren.

Dus ga lekker door met niks verbergen en je kop in het zand steken. Ik hoop echt dat niet de hele wereld gaat denken zoals jij.
Niet dat ik me zelf er nou bijzonder druk om maak, maar jouw redenatie klopt ook niet. Het feit dat je iets niet 100% tegen kunt houden betekent niet dat je het dan maar volledig moet laten gaan. Ben je anders ook voorstander van het afschaffen van het volledige politie apparaat omdat ze niet elke crimineel te pakken krijgen?
Precies afschaffen van politie en het leger, gelijk ook de zorg want niet iedereen is te genezen! Houd ik gelijk een stuk meer geld over aan het eind van de maand!

Nee zonder gekheid, ik ben ook bezig met mijn privacy, echter ik ben me er van bewust dat zodra er een verbinding is, zij het met internet of zij het met het telefoonnetwerk of op welke andere wijze dan ook, dan is er altijd een privacy risico.
Dat is inderdaad zo maar achter de pc kun je bewust zijn van je activiteiten. Het gaat meer om de randapparatuur die alles en iedereen maar loggen en een data stroom creëren waar niemand precies van weet wat er mee gebeurd.
Als je volledig controle over je PC wilt hebben, dan zul je de verbinding met internet moeten verbreken. Anders dien je elk netwerk pakketje te inspecteren wat eruit gaat. Ieder programma (ook uit die lijst van jouw geïnstalleerde pakketten) op jouw PC kan wel iets uitsturen met gevoelige data. Bovendien is er veel data encrypted dus dat wordt nog een hele klus.
Iemand die alles afschermd is ook verdacht.mensen moeten meer vertrouwen in elkaar hebben, iets wat niet meer vanzelf sprekend is.vraag me ook af waarom wetenschappers zich hier mee bezig houden met keyloggers van smartwatches

[Reactie gewijzigd door eliasje op 13 september 2015 14:28]

en zie hier.. reden 234124.4214112/3 om geen 'smartwatch' te kopen ;)
dat ze je telefoon traceren best leuk... ga vooral je gang.. dat is met 3 punts cross reference systeem ook niet zo moeilijk. maar echt.. gaan er nu daadwerkelijk 'onderzoekers' zoiets uitvogelen? waarom niet de blackhat community samen met de NSA.. dat zou een veel logischer iets zijn... het enige wat ze nu nog hoeven te doen is net als bij je bankpas en je ID card er een chipje in te douwen dat ze je helemaal op 3 meter naukeurig kunnen volgen.. heel fijn allemaal deze ontwikkelingen (sarcasm)
als ik muziek op de achtergrond heb aan staan en er even "helemaal" in zit, ga ik vanzelf op de maat van de muziek typen ;) lijkt er op alsof ik me daarmee enigszins bescherm, LOL

meer/vaker muziek luisteren dan maar =D

[Reactie gewijzigd door Alxndr op 12 september 2015 14:06]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True