Onderzoekers hebben een keylogger gemaakt voor een onscreen toetsenbord op Android-smartphone. De keylogger werkt via de bewegingssensor, maar is vooralsnog lang niet accuraat genoeg om toetsaanslagen juist te registreren.
De onderzoekers van de universiteit van California hebben als doel de beperkte beveiliging van data van bewegingssensoren aan de kaak te stellen, schrijven zij in hun paper. Volgens de onderzoekers kan de data van bewegingssensoren makkelijk gebruikt worden om gebruikers 'af te luisteren'. Daarom moet die data in mobiele besturingssystemen beter beveiligd worden, vinden zij.
Om het gebrek aan beveiliging aan te tonen, schreven ze de Android-app Touchlogger, een numeriek keypad dat in landscape-modus de input van gebruikers probeert te bepalen door middel van de bewegingssensor. Op het testtoestel, een HTC Evo 4G, kwam de app in ongeveer 70 procent van de gevallen met de juiste input op basis van de data van de bewegingssensor. Dat kon worden bepaald, omdat mensen bij het indrukken van een toets op een scherm enige druk uitoefenen, waardoor het toestel beweegt. Die bewegingen kunnen gecorreleerd worden aan de cijfers die werden ingevoerd. De techniek zou op tablets door het grotere scherm daardoor beter werken, zeggen de onderzoekers tegen The Register, omdat de bewegingen groter zijn.
De keylogger is vooralsnog geen gevaar voor Android-gebruikers: het is niet mogelijk om via de bewegingssensoren input op qwerty-toetsenborden te loggen: daarvoor is de meetmethode te weinig precies. Volgens de onderzoekers is het wel mogelijk dat kwaadwillenden in de toekomst de techniek verfijnen om zo bijvoorbeeld wachtwoorden en bankgegevens van smartphonegebruikers te loggen. Dat zou op zowel Android als iOS kunnen, denken zij.
:fill(white)/i/1313655275.jpeg?f=thumb)
:fill(white)/i/1313655367.jpeg?f=thumb)