Onderzoekers maken keylogger voor onscreen toetsenbord

Onderzoekers hebben een keylogger gemaakt voor een onscreen toetsenbord op Android-smartphone. De keylogger werkt via de bewegingssensor, maar is vooralsnog lang niet accuraat genoeg om toetsaanslagen juist te registreren.

De onderzoekers van de universiteit van California hebben als doel de beperkte beveiliging van data van bewegingssensoren aan de kaak te stellen, schrijven zij in hun paper. Volgens de onderzoekers kan de data van bewegingssensoren makkelijk gebruikt worden om gebruikers 'af te luisteren'. Daarom moet die data in mobiele besturingssystemen beter beveiligd worden, vinden zij.

Om het gebrek aan beveiliging aan te tonen, schreven ze de Android-app Touchlogger, een numeriek keypad dat in landscape-modus de input van gebruikers probeert te bepalen door middel van de bewegingssensor. Op het testtoestel, een HTC Evo 4G, kwam de app in ongeveer 70 procent van de gevallen met de juiste input op basis van de data van de bewegingssensor. Dat kon worden bepaald, omdat mensen bij het indrukken van een toets op een scherm enige druk uitoefenen, waardoor het toestel beweegt. Die bewegingen kunnen gecorreleerd worden aan de cijfers die werden ingevoerd. De techniek zou op tablets door het grotere scherm daardoor beter werken, zeggen de onderzoekers tegen The Register, omdat de bewegingen groter zijn.

De keylogger is vooralsnog geen gevaar voor Android-gebruikers: het is niet mogelijk om via de bewegingssensoren input op qwerty-toetsenborden te loggen: daarvoor is de meetmethode te weinig precies. Volgens de onderzoekers is het wel mogelijk dat kwaadwillenden in de toekomst de techniek verfijnen om zo bijvoorbeeld wachtwoorden en bankgegevens van smartphonegebruikers te loggen. Dat zou op zowel Android als iOS kunnen, denken zij.

Touchlogger: keylogger voor Android Touchlogger: keylogger voor Android

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 18-08-2011 13:13 45

18-08-2011 • 13:13

45

Lees meer

HTC Evo 3D

geen prijs bekend

4.5 van 5 sterren
'Apps in Android P kunnen op achtergrond camera niet langer gebruiken'
'Apps in Android P kunnen op achtergrond camera niet langer gebruiken' Nieuws van 20 februari 2018
Toepassing moet botsingen bij telefoongebruik tijdens het lopen voorkomen
Toepassing moet botsingen bij telefoongebruik tijdens het lopen voorkomen Nieuws van 15 april 2013
Android-toetsenbord Swiftkey wil spatiebalk overbodig maken
Android-toetsenbord Swiftkey wil spatiebalk overbodig maken Nieuws van 5 april 2012
Android-app waarschuwt voor naderende auto's bij oversteken
Android-app waarschuwt voor naderende auto's bij oversteken Nieuws van 29 november 2011
HTC kondigt patch voor beveiligingslek aan
HTC kondigt patch voor beveiligingslek aan Nieuws van 4 oktober 2011
App vertelt automobilist wanneer stoplicht op groen springt
App vertelt automobilist wanneer stoplicht op groen springt Nieuws van 26 augustus 2011
Samsung ontkent berichten over keyloggers op laptops
Samsung ontkent berichten over keyloggers op laptops Nieuws van 31 maart 2011
Online fraudeurs stelen 800.000 euro van Britse bankrekeningen
Online fraudeurs stelen 800.000 euro van Britse bankrekeningen Nieuws van 11 augustus 2010
Firmware van Apple-keyboard kan als keylogger worden gebruikt
Firmware van Apple-keyboard kan als keylogger worden gebruikt Nieuws van 3 augustus 2009
Belgische hackers wilden 240 miljoen euro van Japanse bank roven
Belgische hackers wilden 240 miljoen euro van Japanse bank roven Nieuws van 26 januari 2009
Meer producten en artikelen
Smartphones Mobiele besturingssystemen Privacy Software development Google HTC Android Beveiliging

Reacties (45)

-Moderatie-faq
45
43
25
2
0
3
Wijzig sortering

Sorteer op:

Weergave:
disweb 18 augustus 2011 13:17
Als ze dit verbeteren is het opzich ook een mooie techniek voor auto-correctie van toetsenborden. Ook goede zaak dat ze zich inzetten om deze data beter te beveiligen.
varkenspester @disweb18 augustus 2011 13:29
Waarom zou je dit gebruiken voor auto-correctie?
Dit is een externe app die de beweging op het toetsenbord probeerd 'af te luisteren',
auto-correctie bouw je gewoon in de originele toetsenbord-software zelf in,dat is namelijk zowiezo al veel accurater, daarvoor hoef je echt geen 'afluisterapp' te schrijven
Mellow Jack
@varkenspester18 augustus 2011 14:32
Ja inderdaad en daarnaast is het onwijs omslachtig... Dit betekend dat ze voor elk type toetsenbord een aparte app moeten schrijven (of iig een aparte key layout moeten hebben) en vrijwel elk Android toestel heeft een net iets ander toetsenbord. Daarnaast gaat het al niet werken met swype en krijgen ze het ook heel lastig met woordaanvulling (aangezien je dan maar een paar letters typed). Nee dit zie ik echt geen succes worden :P Mogelijk met een sterke analyse functie om rekening nummers te filteren bij een numerieke invoer maar ik zie steeds meer apps met invoertoetsen in hun eigen opmaak dus dat maakt het weer lastiger.
watercoolertje
@varkenspester18 augustus 2011 13:46
Hij doelt dan ook op de techniek/het idee, niet op de app zelf...

Hij zou het dus mits goed uitgewerkt is een welkome techiniek om terug te vinden in zijn (favoriete) keybord-app te hebben...

[Reactie gewijzigd door watercoolertje op 23 juli 2024 23:47]

SiC123 @disweb18 augustus 2011 19:42
@disweb mooi bedacht :) patenteren!
KirovAir 18 augustus 2011 13:17
Ook al moeten de algoritmes echt ontzettend verfijnt worden voor échte accurate resultaten, vind ik dit wel een hele interessante benadering!
Hoewel de kans dat je tussen alle garbage-data bankrekeningnummers gaat vinden als keylogger-zijnde erg klein is, kun je door (nog meer) algoritmes toch wel wat uitpluizen lijkt mij.
Interessant gegeven, helemaal met de userbase van android, en de hoeveelheid gebruikers die je kunt bereiken doormiddel van 'fake'-apps.
Elmo_nl @KirovAir18 augustus 2011 13:32
Hoewel de kans dat je tussen alle garbage-data bankrekeningnummers gaat vinden als keylogger-zijnde erg klein is, kun je door (nog meer) algoritmes toch wel wat uitpluizen lijkt mij.

Hoeft niet zo te zijn. Je zou de keylogger extra/anders kunnen laten loggen na ingave van een bepaalde url zoals mijn.ing.nl o.i.d.
Iblies @KirovAir18 augustus 2011 13:37
Een bankrekeningnummer heeft 9 nummers, BSN 9 nummer, telefoonnummer heeft 10 nummers, postcode 4 cijfers twee letters, email adres bevat een @ etc.


Neem een buffer van 100 karakters voor en na elke match en je hebt behapbare informatie waar je je eventueel in kunt verdiepen. Veiligheid is een farce.
Borland 18 augustus 2011 15:48
Is zoiets nou niet het einde van XDA developers. Ik bedoel als personen dit straks in custom roms bakken dan vertrouwd niemand elkaar meer. Of ben ik lichtelijk naïef?
mashell @Borland18 augustus 2011 16:07
Misschien zit er al jaren keyloggers in custom roms, misschien gewoon in de touchscreen drivers ingebakken (100% score). Misschien ben je wel naief als je een custom rom installeert?
Borland @mashell18 augustus 2011 16:20
goed punt ja
Verwijderd 18 augustus 2011 13:18
Hmm bewegingsensor uitschakelen, zo gauw er een wachtwoordveld geselecteerd wordt?
Morphix 18 augustus 2011 13:22
Tja, 12 (16) toetsen versus een heel qwerty bord. Als zelfs die eerste op dit moment nauwelijks accuraat genoeg is zijn ze nog wel een tijdje bezig om dit voor normale toetsenborden uitvoerbaar te maken. Daarnaast, android heeft zoveel verschillende toetsenborden, een klein verschil in layout werkt dit systeem al weer tegen.

Wat wel vrij ernstig is, is dat alleen de bewegingssensor nodig is. Android biedt in principe genoeg bescherming zolang je zorgt dat je goed kijkt of de app die je installeert geen overbodige dingen wil doen, maar een app die daadwerkelijk de bewegingssensor (en internettoegang) nodig heeft is zo gemaakt. Voeg dit stukje software toe en niemand heeft het door.
sys64738 Moderator F&V 18 augustus 2011 13:39
Leuk idee en het lijkt me leuk om zo iets uit te werken.

Wat ik me af vraag als ik die patronen zie is: hoevee lverschil zit er in die patronen van gebruiker tot gebruiker? Als ze de app eerst mogen calibreren op de gebruiker voordat ze het onderzoek starten, zou de nauwkeurigheid flink toenemen lijkt me. Niet echt reeel natuurlijk...... "We hebben een keylogger op je telefoon geinstalleerd maar om deze nog iets nauwkeuriger te maken, vragen we je de volgende cijfers in te toetsen in landscape-modus" :+
de_marvin 18 augustus 2011 14:00
Lijkt me leuk om te testen, kan ik ergens die app downloaden? Heb al geprobeerd op de market, maar kan hem niet vinden op Touchlogger of Touch logger.
mark-k 18 augustus 2011 14:04
Dus nu gewoon gaan springen terwijl je je wachtwoorden intypt, dan raakt die keylogger wel de kluts kwijt :P
Verwijderd @mark-k18 augustus 2011 14:13
En je alu hoedje niet vergeten :).
World Citizen 18 augustus 2011 14:18
Mij valt altijd op dat in donkere ruimtes, mensen met de reader van de bank naar het scherm toe draaien zodat het licht van het scherm op de reader valt...

Het viel me mee dat er nog geen hack was Die de webcam overneemt, zodat de hacker mee kan kijken op je reader.. en zo de overboeking kan kapen.

Dit is net zo iets natuurlijk.
Xanaroth 18 augustus 2011 14:36
Een leuk idee, maar dan moet je ook weten op welk toetsenbord het is gedaan.

Bij android verandert niet alleen de indeling (plek van letter/cijfer/teken) maar ook het formaat (en dus daadwerkelijke locatie van een toets op het beeld) als je een andere taal kiest. Het is dus niet voldoende te weten welke locatie word aangeraakt.
Verwijderd @Xanaroth19 augustus 2011 11:46
Maar de algemene beweging die jij maakt bij het "drukken" van een bepaalde toets blijft hetzelfde. De telefoon zal dus ongeveer dezelfde bewegingen maken, ongeacht het soort of locatie van het toetsenbord.

Op dit moment zijn overigens de bewegingssensors nog te slecht om accuraat de bewegingen te meten en duidelijke verschillen te zien bij de toetsen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq