Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 45 reacties

Onderzoekers hebben een keylogger gemaakt voor een onscreen toetsenbord op Android-smartphone. De keylogger werkt via de bewegingssensor, maar is vooralsnog lang niet accuraat genoeg om toetsaanslagen juist te registreren.

De onderzoekers van de universiteit van California hebben als doel de beperkte beveiliging van data van bewegingssensoren aan de kaak te stellen, schrijven zij in hun paper. Volgens de onderzoekers kan de data van bewegingssensoren makkelijk gebruikt worden om gebruikers 'af te luisteren'. Daarom moet die data in mobiele besturingssystemen beter beveiligd worden, vinden zij.

Om het gebrek aan beveiliging aan te tonen, schreven ze de Android-app Touchlogger, een numeriek keypad dat in landscape-modus de input van gebruikers probeert te bepalen door middel van de bewegingssensor. Op het testtoestel, een HTC Evo 4G, kwam de app in ongeveer 70 procent van de gevallen met de juiste input op basis van de data van de bewegingssensor. Dat kon worden bepaald, omdat mensen bij het indrukken van een toets op een scherm enige druk uitoefenen, waardoor het toestel beweegt. Die bewegingen kunnen gecorreleerd worden aan de cijfers die werden ingevoerd. De techniek zou op tablets door het grotere scherm daardoor beter werken, zeggen de onderzoekers tegen The Register, omdat de bewegingen groter zijn.

De keylogger is vooralsnog geen gevaar voor Android-gebruikers: het is niet mogelijk om via de bewegingssensoren input op qwerty-toetsenborden te loggen: daarvoor is de meetmethode te weinig precies. Volgens de onderzoekers is het wel mogelijk dat kwaadwillenden in de toekomst de techniek verfijnen om zo bijvoorbeeld wachtwoorden en bankgegevens van smartphonegebruikers te loggen. Dat zou op zowel Android als iOS kunnen, denken zij.

Touchlogger: keylogger voor Android Touchlogger: keylogger voor Android
Moderatie-faq Wijzig weergave

Reacties (45)

Als ze dit verbeteren is het opzich ook een mooie techniek voor auto-correctie van toetsenborden. Ook goede zaak dat ze zich inzetten om deze data beter te beveiligen.
Waarom zou je dit gebruiken voor auto-correctie?
Dit is een externe app die de beweging op het toetsenbord probeerd 'af te luisteren',
auto-correctie bouw je gewoon in de originele toetsenbord-software zelf in,dat is namelijk zowiezo al veel accurater, daarvoor hoef je echt geen 'afluisterapp' te schrijven
Ja inderdaad en daarnaast is het onwijs omslachtig... Dit betekend dat ze voor elk type toetsenbord een aparte app moeten schrijven (of iig een aparte key layout moeten hebben) en vrijwel elk Android toestel heeft een net iets ander toetsenbord. Daarnaast gaat het al niet werken met swype en krijgen ze het ook heel lastig met woordaanvulling (aangezien je dan maar een paar letters typed). Nee dit zie ik echt geen succes worden :P Mogelijk met een sterke analyse functie om rekening nummers te filteren bij een numerieke invoer maar ik zie steeds meer apps met invoertoetsen in hun eigen opmaak dus dat maakt het weer lastiger.
Hij doelt dan ook op de techniek/het idee, niet op de app zelf...

Hij zou het dus mits goed uitgewerkt is een welkome techiniek om terug te vinden in zijn (favoriete) keybord-app te hebben...

[Reactie gewijzigd door watercoolertje op 18 augustus 2011 14:14]

@disweb mooi bedacht :) patenteren!
Ook al moeten de algoritmes echt ontzettend verfijnt worden voor Úchte accurate resultaten, vind ik dit wel een hele interessante benadering!
Hoewel de kans dat je tussen alle garbage-data bankrekeningnummers gaat vinden als keylogger-zijnde erg klein is, kun je door (nog meer) algoritmes toch wel wat uitpluizen lijkt mij.
Interessant gegeven, helemaal met de userbase van android, en de hoeveelheid gebruikers die je kunt bereiken doormiddel van 'fake'-apps.
Hoewel de kans dat je tussen alle garbage-data bankrekeningnummers gaat vinden als keylogger-zijnde erg klein is, kun je door (nog meer) algoritmes toch wel wat uitpluizen lijkt mij.

Hoeft niet zo te zijn. Je zou de keylogger extra/anders kunnen laten loggen na ingave van een bepaalde url zoals mijn.ing.nl o.i.d.
Een bankrekeningnummer heeft 9 nummers, BSN 9 nummer, telefoonnummer heeft 10 nummers, postcode 4 cijfers twee letters, email adres bevat een @ etc.


Neem een buffer van 100 karakters voor en na elke match en je hebt behapbare informatie waar je je eventueel in kunt verdiepen. Veiligheid is een farce.
Is zoiets nou niet het einde van XDA developers. Ik bedoel als personen dit straks in custom roms bakken dan vertrouwd niemand elkaar meer. Of ben ik lichtelijk na´ef?
Misschien zit er al jaren keyloggers in custom roms, misschien gewoon in de touchscreen drivers ingebakken (100% score). Misschien ben je wel naief als je een custom rom installeert?
Hmm bewegingsensor uitschakelen, zo gauw er een wachtwoordveld geselecteerd wordt?
Tja, 12 (16) toetsen versus een heel qwerty bord. Als zelfs die eerste op dit moment nauwelijks accuraat genoeg is zijn ze nog wel een tijdje bezig om dit voor normale toetsenborden uitvoerbaar te maken. Daarnaast, android heeft zoveel verschillende toetsenborden, een klein verschil in layout werkt dit systeem al weer tegen.

Wat wel vrij ernstig is, is dat alleen de bewegingssensor nodig is. Android biedt in principe genoeg bescherming zolang je zorgt dat je goed kijkt of de app die je installeert geen overbodige dingen wil doen, maar een app die daadwerkelijk de bewegingssensor (en internettoegang) nodig heeft is zo gemaakt. Voeg dit stukje software toe en niemand heeft het door.
Leuk idee en het lijkt me leuk om zo iets uit te werken.

Wat ik me af vraag als ik die patronen zie is: hoevee lverschil zit er in die patronen van gebruiker tot gebruiker? Als ze de app eerst mogen calibreren op de gebruiker voordat ze het onderzoek starten, zou de nauwkeurigheid flink toenemen lijkt me. Niet echt reeel natuurlijk...... "We hebben een keylogger op je telefoon geinstalleerd maar om deze nog iets nauwkeuriger te maken, vragen we je de volgende cijfers in te toetsen in landscape-modus" :+
Lijkt me leuk om te testen, kan ik ergens die app downloaden? Heb al geprobeerd op de market, maar kan hem niet vinden op Touchlogger of Touch logger.
Dus nu gewoon gaan springen terwijl je je wachtwoorden intypt, dan raakt die keylogger wel de kluts kwijt :P
En je alu hoedje niet vergeten :).
Mij valt altijd op dat in donkere ruimtes, mensen met de reader van de bank naar het scherm toe draaien zodat het licht van het scherm op de reader valt...

Het viel me mee dat er nog geen hack was Die de webcam overneemt, zodat de hacker mee kan kijken op je reader.. en zo de overboeking kan kapen.

Dit is net zo iets natuurlijk.
Een leuk idee, maar dan moet je ook weten op welk toetsenbord het is gedaan.

Bij android verandert niet alleen de indeling (plek van letter/cijfer/teken) maar ook het formaat (en dus daadwerkelijke locatie van een toets op het beeld) als je een andere taal kiest. Het is dus niet voldoende te weten welke locatie word aangeraakt.
Maar de algemene beweging die jij maakt bij het "drukken" van een bepaalde toets blijft hetzelfde. De telefoon zal dus ongeveer dezelfde bewegingen maken, ongeacht het soort of locatie van het toetsenbord.

Op dit moment zijn overigens de bewegingssensors nog te slecht om accuraat de bewegingen te meten en duidelijke verschillen te zien bij de toetsen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True