Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 101 reacties

De pincode van een smartphone is te achterhalen via de ingebouwde camera en de microfoon, zo stellen onderzoekers. Daarvoor gebruikten zij een experimentele app. De software is getest op een Google Nexus S en een Galaxy S3.

Onderzoekers aan de universiteit van Cambridge stellen dat zij via de zelfonwikkelde applicatie PIN Skimmer pincodes konden achterhalen. De app schakelt daarbij de camera aan de voorkant van een smartphone in om het gezicht van de gebruiker te kunnen volgen. Ook wordt de microfoon gebruikt om 'klikgeluiden' op de smartphone op te kunnen vangen. Beide gegevens worden via een centrale server gevolgd om zo de belasting op de accu van de smartphone te minimaliseren.

Volgens de onderzoekers kan de app 'touch events' oppikken om zo de pincode te achterhalen. Naast het opvangen van geluid wanneer de gebruiker een pincode intoetst, wordt de camera in de PIN Skimmer-app gebruikt om in te schatten waar de vingers naar toe gaan. De app zou bij viercijferige pincodes in 50 procent van de gevallen de code kunnen achterhalen. Bij pincodes van acht cijfers zou het percentage liggen op 60 procent na het scannen van tien pogingen.

De onderzoekers stellen dat het gebruik van een pincode onveilig kan zijn als een smartphone gebruikt wordt voor zaken als internetbankieren. Mobiele apps voor dergelijke gevoelige toepassingen zouden de sensoren op smartphones beter moeten blokkeren in hun specificaties, mits de instellingen van het mobieltje dit toelaten. Een andere mogelijkheid is om andere identificatiemechanismes te gebruiken, zoals een vingerafdruk.

Moderatie-faq Wijzig weergave

Reacties (101)

Of misschien door de toetsen van het toetsenbord om te gooien zodat deze op een random plaats komen te staan?
Precies waar ik aan dacht!
Dat is echter heel vervelend voor de gebruiker... Maakt het onthouden van de pin code lastiger, omdat je niet het patroon meer kunt onthouden.

Verder kun je de code niet meer blind intoetsen, en duurt het langer om de code in te toetsen, zodat het weer makkelijker wordt om de code af te kijken.

Lijkt me handiger als de software een standaard 'password/pincode' mode krijgt, waarmee simpelweg alle overige software uitgeschakeld wordt. Windows heeft dat al sinds Vista wanneer het om het admin password vraagt.
Beveiliging is altijd vervelend voor de gebruiker :-)
Het zou beter zijn als de microfoon en camera's in- en uitgeschakeld kunnen worden op een analoge manier. Dan kunnen andere apps geen misbruik maken zonder dat je het zelf inschakeld.
Op zich heb je gelijk, maar er is geen hond die die dingen ook daadwerkelijk uit gaat schakelen elke keer als hij een password in moet voeren of iets anders "gevoeligs" doet. Daarom is een soort van password mode die andere apps blokkeert om iets met de sensoren te doen toch een betere oplossing denk ik.
Misschien net als bij een webcam een simpel lampje toevoegen die aangeeft of de camera aan staat? En dan geen lampje die via software weer uit te schakelen is.
Ja precies, dan heb je een gevoel van veiligheid wanneer het lampje uitstaat :9

Als je een vinger voor de camera weet je tenminste zeker dat de camera niets ziet (ook niet die vinger, want geen licht).
Helemaal mee eens, gewoon één fysieke schakelaar waarmee je microfoon en alle camera's volledig mee uitschakelt (zowel stroomvoorziening als communicatiekanelen fysiek onderbreken) en één voor alle antenne's (WiFi, NFC, GPS, enz. enz.).

Probleem is dat de NSA/GCHQ/MSS/FSB dat niet zullen toestaan, kunnen ze de gemiddelde (al of niet brave) burger niet meer in real time afluisteren en fysiek tracken...... Alsof dat al enig nut zou hebben, iemand met echt snode plannen zorgt er wel voor dat de batterij uit zijn/haar smartphone is verwijderd wanneer hij/zij niet gevolgd/geregistreerd wil worden.
Ik heb ooit een keer een laptop gezien die een fysieke schakelaar had om de draadloze communicatie mee uit te zetten, maar meestal zie ik soft-switches. En op een smartphone ontbreken ze al helemaal. Een telefoon waar überhaupt fysieke toetsen op zitten is tegenwoordig al een zeldzaamheid.
Ke kunt je telefoon op 3 of 4 mannieren houden, als je dat afwisselt kom je een eind.

Maar ja, is het dan echt niet mogelijk om een soort van sniffer op je scherm-interface te zetten?
als je je telefoon op een speciale manier gaat vasthouden kun je net zo goed meteen je duim op de camera houden lijkt me.
of de apps in kwestie moeten de camera activeren. er kan namelijk maar 1 app op elk gegeven moment de camera in gebruik hebben (in ieder geval op Android), dus kwaadwillende apps zouden de camera niet kunnen gebruiken
Yep, en de pink op de mic.
Heb nu al kramp.
DNA misschien?
Is het direct uitlezen van het touchscreen dan niet een stuk makkelijker en betrouwbaarder als via oogbewegingen een "gok" doen.
Dacht ik ook al aan... de gemiddelde smartphone heeft een vette vlek op zijn scherm waarmee je de code zo kan uitlezen....
Het grote verschil is dat je bij een hack de telefoon zelf niet hoeft te hebben.
Wat harley denk ik bedoeld is dat je net zo goed kan uitlezen waar op het scherm word gedrukt om zo de code te achterhalen.
De enige reden dat je die code wil weten is als je als gebruiker toegang wil hebben tot de telefoon die je dan in je bezit moet hebben. En op dat moment heb je dus al software op het toestel staan dat je in zoverre toegang verschaft dat je dat eigelijk al niet meer nodig hebt.
Of misschien zorgen dat apps niet bij elkaars input devices kunnen...
Wellicht dat je met eye tracking dan juist beter kunt achterhalen wat het volgende cijfer moet zijn; het oog kijkt eerst even heel snel op de plek waar hij die verwacht. Door de haakse beweging net als bij swipe heb je een goed gedefinieerde richting die moeilijk is te faken.

[Reactie gewijzigd door djwice op 11 november 2013 20:57]

Yup....

"Een andere mogelijkheid is om andere identificatiemechanismes te gebruiken, zoals een vingerafdruk."

....en dat is hoe je mensen overhaalt om vingerafdruk-beveiliging te accepteren op telefoons om uiteindelijk naar een cashloze samenleving te gaan....

....het blijft wonderbaarlijk hoe makkelijk mensen te manipuleren zijn, gewoon wat Cambridge onderzoekers omkopen.
Inderdaad, vingerafdruk is op zo veel verschillende wijze gekraakt dat ik toch niet meer had verwacht dat iemand dat echt serieus zou durven te melden als alternatieve beveiligingsmethode.

Afgelopen jaren diverse uitzendingen op tv geweest waarbij via verschillende methodes getoond wordt hoe zelfs meest dure beveiligingssystemen die met vingerafdruk gekraakt kunnen worden.
Ik snap weinig van dit artikel. Gesteld wordt dat als je een app installeert op een telefoon, dat die app dan in staat zou zijn de unlockcode te achterhalen. Dus een kwaadwillende moet eerst de app zien te installeren op de telefoon, dan moet de originele gebruiker 'm een keer unlocken, en vervolgens kan de kwaadwillende er iets mee. Maar heb je niet al niet een groter probleem op het moment dat iemand willekeurige apps op je toestel kan installeren :?
De onderzoekers stellen dat het gebruik van een pincode onveilig kan zijn als een smartphone gebruikt wordt voor zaken als internetbankieren. Mobiele apps voor dergelijke gevoelige toepassingen zouden de sensoren op smartphones beter moeten blokkeren in hun specificaties, mits de instellingen van het mobieltje dit toelaten.
Ah wacht, ze bedoelen dus dat het mogelijk wordt om in-app pincodes, zoals die voor je internetbankieren app, te achterhalen, en dus niet per se de SIM of unlock pin.

[Reactie gewijzigd door .oisyn op 11 november 2013 17:32]

Daarnaast heb je niks aan die Pincode voor mijn bankieren app. Want als ik die app installeer op mijn tablet moet ik een andere pin invoeren of op dat moment opnieuw "registeren" met mijn random reader.

Daarnaast kan niemand met mijn toestel + Nummer geen geld naar een onbekende rekening sluizen.

Het is allemaal zoeken naar muizen en er olifanten van maken. De veiligheid zit wel redelijk goed in elkaar. Je kan beter iemand's pinpas jatten en zijn of haar pincode afkijken in een winkel o.a.
Als mensen net als bij wachtwoorden het ook vertikken om verschillende pincodes te gebruiken voor pinpas, credit card, telefoon-unlock en bankieren-app, heb je wel degelijk wat aan een willekeurige pincode :)

Maar het is allemaal wel heel hypothetisch. Wat je omschrijft was ook meteen mijn gedachte: veel succes met mijn pincode: je kunt er toch geen geld mee overmaken naar je eigen rekening :)
je vergeet dat er in NL ook baken zijn die geen randomreaders gebruiken voor mobiel betalen bouw een nagemaakte skype app oid die heeft natuurlijk toegang tot camera en microfoon en vollia... als je slim bent houd je de bedragen klein genoeg want zelfs bij de rabobank kun je tot een limiet van ik meen een paar euro... zonder randomreaderbetalen (volgens mij moet je die optie specifiek blokkeren) dus zodra iemand eeenmaal gebruik maakt van die app... kun jee je aanval starten dikke kans dat het je lukt...

maar bij andere banken is het veel makkelijker.
Ik denk dat je je vergist voor wat betreft de Rabobank: daar staat betalen aan onbekende rekeningen zonder randomreader default uit (bron). Net ook even bij mezelf gecheckt: dat staat uit, behalve voor bekende rekeningen tot een max van 1000 euro/week.

Misschien ben je in de war met pinnen zonder pincode, wat ook tot een bepaald maximum mogelijk is, maar daar gaat het hier niet om. Hoe het bij andere banken zit weet ik natuurlijk niet, aangezien ik alleen met de Rabobank ervaring heb :)
Bij ABN is het helemaal niet mogelijk om het uberhoupt aan of uit te zetten als je zonder reader naar een onbekende rekening wilt boeken.

Geen ide hoe dit bij ING gaat.maar volgens mij moet je bij ING perse een sms code invullen.

Ik denk dat wij in NL vrij beschermd zijn tegen dit soort zaakjes.


en zoizo..wat moet jij met een app die dit kan op je mobiel?(artikel) dan doe je al iets fout.
Het schijnt dat er tegenwoordig ook steeds vaker malware tussen apps zit, vooral van 3rd partys (niet Play store). Op die manier zou zoiets als dit ook binnen kunnen komen.
Die keuze heb je als gebruiker.

Dat er malware tussen KAN zitten, wil niet zeggen dat ook werkelijk op dagelijkse basis gebeurt.
Waar je een vrijheid creeert onstaan veiligheidsproblemen, elk OS regelt op een andere manier hoe dat afgedicht gaat/kan worden.

Onder Windows kan je via allerlei wegen software installeren, met of zonder zgn admin rechten.
Apple heeft op zijn producten voor een andere weg gekozen, veiliger voor de meerderheid, maar sommigen willen die 'rubbertegel-omgeving' niet.
Android geeft je de "veiligheid" van hun eigen play-store, en door een tussenkomst van de gebruiker kan je ( tijdelijk) externe apps installeren ( instelling aan / uitzetten ), net als dat je UAC kan inregelen bij windows.

Ik ken genoeg mensen die nog nooit een app geinstalleerd hebben buiten de appstore, maar ook een aantal die de appstore nog nooit geopend hebben op hun androidphone
Ben het helemaal met je eens, hoe zou zo'n app nou op je telefoon kunnen komen? niet via de play market want zoiets wordt na ontdekking meteen verbannen door Google
Wat een onzin zeg... als er dan toch spyware op die telefoon moet staan kun je net zo goed gewoon keyloggen of iets dergelijks. Dit gaat echt nergens over.
Ik weet niet in hoeverre dat soort apps in een sandbox draaien en hoe moeilijk het is om keyboard input te intercepten met Android. Als dat goed beveiligd is, dan is zo'n camera + mic best een goed idee. Je kunt het dan ook gaan gebruiken om bij pincode terminals de bewegingen te gaan interpreteren - ik ga er al heel lang van uit dat die verborgen cameraatjes met achterliggende software dat al kunnen: ik maak schijnbewegingen bij het intikken van mijn pin en ik gebruik meerdere vingers. Maar ja, dat bliepje vernaggelt wel weer mijn schijnbeweging. Enneh, ik heb er nog nooit over nagedacht om schijnbewegingen te maken met mijn ogen - ik leer van dit artikeltje dat die oog-schijnbewegingen dus wel nodig zijn.

Deze hack werkt nu kennelijk op Android en een proof of concept zou ook vast op iOS gerealiseerd kunnen worden. Interessanter wordt het wanneer dit soort grappen 'in the wild' voor gaan komen.
Kans is vaak vrij groot dat wanneer onderzoekers hier achter komen, dat er allang iemand anders is met minder goede bedoelingen die dit geintje ook al heeft uitgehaald.
Als je de camera kan intercepten kan je volgens mij ook via de spiegeling van een bril -en bij een voldoende hoge resolutie- van de ooglens de pincode achterhalen.
Ik vind het eigenlijk veel verontrustender dat een achtergrond app mijn camera en microfoon aanzet om die naar internet toe streamen. Dat is hier blijkbaar voor nodig.
Het android is vrij open, en ruim voor het draaien van achtergrond apps. Maar als kritische gebruiker, kun je ook zelf instellen vanaf android 4.3 welke toestemmingen apps krijgen.
Behalve apps als skype en camera-apps zou ik niet weten wat apps met mijn camera moeten. Een spelletje dat ook mijn camera wil gebruiken, installeer ik niet. Wat je zegt: als gebruiker mag je best kritisch blijven en niet klakkeloos overal op "ja" en "amen" klikken |:(

[Reactie gewijzigd door Grrrrrene op 11 november 2013 17:51]

Met de app LBE Security kun je via Permission Management van geïnstalleerde apps de machtigingen weer wijzigen, mits je smartphone geroot is.
Bij elk gebruik toestemming vragen, in zijn geheel blokkeren, of gewoon als vanouds toestaan.

De eerste keer was toch even een behoorlijke 'eye-opener' toen ik zag hoeveel apps (en ook wat voor type apps) gemachtigd waren voor toegang tot mijn oproepgegevens, contactgegevens, Telefoon ID, camera, enz...

Zelf uiteraard allemaal in eerste instantie toestemming voor gegeven, dus dit is geen klaagzang. Meer een tip :)

LBE Security Master: http://forum.xda-developers.com/showthread.php?t=1422479
LBE Privacy Guard: http://forum.xda-developers.com/showthread.php?t=2320843
Ik geef per definitie de toestemming alleen voor functie als ik het nodig denk te vinden.

spellen hebben mijn imei/phoneID niet nodig, veel apps hebben mijn locatie echt niet nodig.

LBE duurt even een half uurtje instellen de eeste keer, maar daarna geeft hij bij elke app / update een melding om het te controleren.
Ik gebruik het nu een half jaar, en buiten de accuduur die vooruitgegaan is, is het 'gevoel' ook prettiger
Tja... hoe wil je anders apps maken die bijvoorbeeld QR codes uitlezen? Daarvoor heeft de app simpelweg toegang nodig.

Wat wel vervelend is, is dat de toegang tot dit soort dingen niet goed genoeg geregeld is, waardoor uiteindelijk het vaak een alles of niets keuze is wat betreft security.
maar een QR-code reader heeft geen toegang nodig tot internet, en ook niet tot je microfoon.
en aangezien deze 2 functies ook nodig zijn hebben ze niks.
maar een QR-code reader heeft geen toegang nodig tot internet, en ook niet tot je microfoon.
en aangezien deze 2 functies ook nodig zijn hebben ze niks.
Juist wel, een één van de functies van QR is de koppeling met internetlinks.
Waar je op moet letten is OF je de app nodig hebt, je hebt geen 4 QR apps nodig natuurlijk ;)

Zoals hierboven, een securityapp zoals LBE, deze kan je instellen om te vragen of je de camera / mic wilt toestaan, al dan niet tijdelijk
Juist niet, het moet namelijk de code offline kunnen scannen, en dan moet het naar een appart appje kunnen openen om de link te gebruiken, als in, de play store, browser of spotify e.t.c.
je kunt ook gewoon naar vet afdrukken op het scherm kijken,
sommigen mensen maken hun scherm niet zo vaak schoon :) .
Makkelijker is diegene te bellen, 1 keer over te laten gaan. en gewoon op zijn toestel meekijken welke code hij intikt.

Ik ken niemand die zijn code invoeren actief verbergt voor mensen om hem heen.
Dit gaat over pincodes voor banktransacties, in-app purchases en van dat soort zaken. Dit gaat niet over het unlock screen van je phone.

Naarmate deze techniek zich meer op de vingerbewegingen van de gebruiker inleest en 'leert' kan ik me trouwens indenken dat ook gewone onscreen keyboard input binnen schot komt. Als dit soort software een gebruiker lang genoeg observeert zou het niet gelimiteerd hoeven blijven tot de simpele layout van een numeriek toetsenbord voor pincode invoer, maar kan het ook wel eens gebruikt kunnen worden om arbitrair wachtwoorden te stelen.

[Reactie gewijzigd door R4gnax op 11 november 2013 21:53]

Een paar keer in de browser door een webpagina vegen en die afdrukken zijn wel weg lijkt me? Klinkt mij als broodje-aap in de oren.
Vinger op de camera leggen tijdens pincode intoetsen? En zover ik weet maakt mijn phone ook geen geluidjes als ik een pincode intoets. Niet dat ik bankier via mijn telefoon, maar goed...
hoeft ook niet perse een geluidje te zijn van de telefoon zelf. zodra jij je telefoon aan raakt maak je geluid, hoe zacht het ook is...
Mah.

Heb de toetsen van geluid altijd uit. :)
Ik zie een toepassing hierin meer dat mensen soms 'in gedachten' hardop de code zeggen die ze intypen. Ik betrap me er zelf heel vaak op, maar dan gaat het meestal binnensmonds..
Ondanks dat ik geen alu-hoedje op heb, is de camera op mijn telefoon gewoon afgeplakt.
Haha, ik ook. Krijg soms nog wel eens een blik toegeworpen van: 'WTF, hoezo heb je dat stickertje erop geplakt'. Het zit trouwens ook op mijn netbook, bij mijn desktop heb ik geen webcam. :+

Alleen jammer dat ik de microfoon niet kan afplakken, dat is zo onhandig bij telefoongesprekken :P
Same here ...
Krijg je een opmerking..... "hoe maak je dan een selfie ? "

* FreshMaker weet gewoon dat je dat niet eens wilt ... :+
Wat dag je van google glass dan die heeft ook een camera dus daarmee kan je ook pincodes lekken. Gaat wel een beetje ver.
Ja mijnheer de bank, ik wil mijn geld terug. Want ik kan er niets aan doen dat mijn bril gekraakt is...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True