'Pincode smartphone is te achterhalen via microfoon en camera'

De pincode van een smartphone is te achterhalen via de ingebouwde camera en de microfoon, zo stellen onderzoekers. Daarvoor gebruikten zij een experimentele app. De software is getest op een Google Nexus S en een Galaxy S3.

Onderzoekers aan de universiteit van Cambridge stellen dat zij via de zelfonwikkelde applicatie PIN Skimmer pincodes konden achterhalen. De app schakelt daarbij de camera aan de voorkant van een smartphone in om het gezicht van de gebruiker te kunnen volgen. Ook wordt de microfoon gebruikt om 'klikgeluiden' op de smartphone op te kunnen vangen. Beide gegevens worden via een centrale server gevolgd om zo de belasting op de accu van de smartphone te minimaliseren.

Volgens de onderzoekers kan de app 'touch events' oppikken om zo de pincode te achterhalen. Naast het opvangen van geluid wanneer de gebruiker een pincode intoetst, wordt de camera in de PIN Skimmer-app gebruikt om in te schatten waar de vingers naar toe gaan. De app zou bij viercijferige pincodes in 50 procent van de gevallen de code kunnen achterhalen. Bij pincodes van acht cijfers zou het percentage liggen op 60 procent na het scannen van tien pogingen.

De onderzoekers stellen dat het gebruik van een pincode onveilig kan zijn als een smartphone gebruikt wordt voor zaken als internetbankieren. Mobiele apps voor dergelijke gevoelige toepassingen zouden de sensoren op smartphones beter moeten blokkeren in hun specificaties, mits de instellingen van het mobieltje dit toelaten. Een andere mogelijkheid is om andere identificatiemechanismes te gebruiken, zoals een vingerafdruk.

Door Dimitri Reijerman

Redacteur

Feedback • 11-11-2013 17:25 101

11-11-2013 • 17:25

101

Lees meer

Firefox en Safari voorkomen dat sites code smartphone afluisteren met gyroscoop
Firefox en Safari voorkomen dat sites code smartphone afluisteren met gyroscoop Nieuws van 12 april 2017
Onderzoekers claimen vingerafdruk te hebben nagemaakt met foto's vinger
Onderzoekers claimen vingerafdruk te hebben nagemaakt met foto's vinger Nieuws van 29 december 2014
Rabobank gaat betalen via smartphone vanaf 2014 invoeren
Rabobank gaat betalen via smartphone vanaf 2014 invoeren Nieuws van 11 november 2013
Mobiel betaalplatform Sixdots start in lente 2014 op Belgische markt
Mobiel betaalplatform Sixdots start in lente 2014 op Belgische markt Nieuws van 10 november 2013
Bedrijf brengt mobiele betaaldienst via vingerafdruklezer uit
Bedrijf brengt mobiele betaaldienst via vingerafdruklezer uit Nieuws van 2 oktober 2013
Bug in Android 4.3 op Nexus 4 laat mobiel signaal wegvallen en accu leeglopen
Bug in Android 4.3 op Nexus 4 laat mobiel signaal wegvallen en accu leeglopen Nieuws van 23 augustus 2013
Banken: skimmen is fors gedaald door pin-blokkade buiten Europa
Banken: skimmen is fors gedaald door pin-blokkade buiten Europa Nieuws van 4 juli 2013
ING begint met uitgifte betaalpassen met nfc-chip
ING begint met uitgifte betaalpassen met nfc-chip Nieuws van 6 juni 2013
Nederlandse banken voeren mobiel betalen via nfc vanaf de zomer gefaseerd in
Nederlandse banken voeren mobiel betalen via nfc vanaf de zomer gefaseerd in Nieuws van 20 februari 2013
Meer producten en artikelen
Smartphones Netwerk en systeembeheer

Reacties (101)

-Moderatie-faq
101
101
57
7
0
32
Wijzig sortering
bass2u 11 november 2013 17:28
Of misschien door de toetsen van het toetsenbord om te gooien zodat deze op een random plaats komen te staan?
TheProf82 @bass2u11 november 2013 17:29
Precies waar ik aan dacht!
Anoniem: 175233 @TheProf8211 november 2013 17:51
Dat is echter heel vervelend voor de gebruiker... Maakt het onthouden van de pin code lastiger, omdat je niet het patroon meer kunt onthouden.

Verder kun je de code niet meer blind intoetsen, en duurt het langer om de code in te toetsen, zodat het weer makkelijker wordt om de code af te kijken.

Lijkt me handiger als de software een standaard 'password/pincode' mode krijgt, waarmee simpelweg alle overige software uitgeschakeld wordt. Windows heeft dat al sinds Vista wanneer het om het admin password vraagt.
Miglow @Anoniem: 17523311 november 2013 18:08
Beveiliging is altijd vervelend voor de gebruiker :-)
Cobalt @Miglow11 november 2013 19:13
Het zou beter zijn als de microfoon en camera's in- en uitgeschakeld kunnen worden op een analoge manier. Dan kunnen andere apps geen misbruik maken zonder dat je het zelf inschakeld.
ATS @Cobalt11 november 2013 20:21
Op zich heb je gelijk, maar er is geen hond die die dingen ook daadwerkelijk uit gaat schakelen elke keer als hij een password in moet voeren of iets anders "gevoeligs" doet. Daarom is een soort van password mode die andere apps blokkeert om iets met de sensoren te doen toch een betere oplossing denk ik.
3raser @Cobalt12 november 2013 09:34
Misschien net als bij een webcam een simpel lampje toevoegen die aangeeft of de camera aan staat? En dan geen lampje die via software weer uit te schakelen is.
Boppo84 @3raser12 november 2013 11:21
Ja precies, dan heb je een gevoel van veiligheid wanneer het lampje uitstaat :9

Als je een vinger voor de camera weet je tenminste zeker dat de camera niets ziet (ook niet die vinger, want geen licht).
Anoniem: 455617 @Cobalt12 november 2013 00:55
Helemaal mee eens, gewoon één fysieke schakelaar waarmee je microfoon en alle camera's volledig mee uitschakelt (zowel stroomvoorziening als communicatiekanelen fysiek onderbreken) en één voor alle antenne's (WiFi, NFC, GPS, enz. enz.).

Probleem is dat de NSA/GCHQ/MSS/FSB dat niet zullen toestaan, kunnen ze de gemiddelde (al of niet brave) burger niet meer in real time afluisteren en fysiek tracken...... Alsof dat al enig nut zou hebben, iemand met echt snode plannen zorgt er wel voor dat de batterij uit zijn/haar smartphone is verwijderd wanneer hij/zij niet gevolgd/geregistreerd wil worden.
--Andre-- @Anoniem: 45561712 november 2013 02:35
Ik heb ooit een keer een laptop gezien die een fysieke schakelaar had om de draadloze communicatie mee uit te zetten, maar meestal zie ik soft-switches. En op een smartphone ontbreken ze al helemaal. Een telefoon waar überhaupt fysieke toetsen op zitten is tegenwoordig al een zeldzaamheid.
memphis @Anoniem: 17523311 november 2013 19:28
Ke kunt je telefoon op 3 of 4 mannieren houden, als je dat afwisselt kom je een eind.

Maar ja, is het dan echt niet mogelijk om een soort van sniffer op je scherm-interface te zetten?
aldo15 @memphis11 november 2013 20:25
als je je telefoon op een speciale manier gaat vasthouden kun je net zo goed meteen je duim op de camera houden lijkt me.
robinkanters @aldo1512 november 2013 10:10
of de apps in kwestie moeten de camera activeren. er kan namelijk maar 1 app op elk gegeven moment de camera in gebruik hebben (in ieder geval op Android), dus kwaadwillende apps zouden de camera niet kunnen gebruiken
thomasvaer @aldo1512 november 2013 17:31
Yep, en de pink op de mic.
Heb nu al kramp.
DNA misschien?
harley @bass2u11 november 2013 17:29
Is het direct uitlezen van het touchscreen dan niet een stuk makkelijker en betrouwbaarder als via oogbewegingen een "gok" doen.
Sergelwd @harley11 november 2013 17:34
Dacht ik ook al aan... de gemiddelde smartphone heeft een vette vlek op zijn scherm waarmee je de code zo kan uitlezen....
ari-equal95 @Sergelwd11 november 2013 18:08
Het grote verschil is dat je bij een hack de telefoon zelf niet hoeft te hebben.
Wat harley denk ik bedoeld is dat je net zo goed kan uitlezen waar op het scherm word gedrukt om zo de code te achterhalen.
johnkeates @ari-equal9512 november 2013 01:40
De enige reden dat je die code wil weten is als je als gebruiker toegang wil hebben tot de telefoon die je dan in je bezit moet hebben. En op dat moment heb je dus al software op het toestel staan dat je in zoverre toegang verschaft dat je dat eigelijk al niet meer nodig hebt.
halofreak1990 @bass2u11 november 2013 19:23
Of misschien zorgen dat apps niet bij elkaars input devices kunnen...
djwice @bass2u11 november 2013 20:56
Wellicht dat je met eye tracking dan juist beter kunt achterhalen wat het volgende cijfer moet zijn; het oog kijkt eerst even heel snel op de plek waar hij die verwacht. Door de haakse beweging net als bij swipe heb je een goed gedefinieerde richting die moeilijk is te faken.

[Reactie gewijzigd door djwice op 22 juli 2024 21:33]

nazuzed 11 november 2013 19:26
Yup....

"Een andere mogelijkheid is om andere identificatiemechanismes te gebruiken, zoals een vingerafdruk."

....en dat is hoe je mensen overhaalt om vingerafdruk-beveiliging te accepteren op telefoons om uiteindelijk naar een cashloze samenleving te gaan....

....het blijft wonderbaarlijk hoe makkelijk mensen te manipuleren zijn, gewoon wat Cambridge onderzoekers omkopen.
basb @nazuzed12 november 2013 20:46
Inderdaad, vingerafdruk is op zo veel verschillende wijze gekraakt dat ik toch niet meer had verwacht dat iemand dat echt serieus zou durven te melden als alternatieve beveiligingsmethode.

Afgelopen jaren diverse uitzendingen op tv geweest waarbij via verschillende methodes getoond wordt hoe zelfs meest dure beveiligingssystemen die met vingerafdruk gekraakt kunnen worden.
.oisyn Moderator Devschuur® 11 november 2013 17:29
Ik snap weinig van dit artikel. Gesteld wordt dat als je een app installeert op een telefoon, dat die app dan in staat zou zijn de unlockcode te achterhalen. Dus een kwaadwillende moet eerst de app zien te installeren op de telefoon, dan moet de originele gebruiker 'm een keer unlocken, en vervolgens kan de kwaadwillende er iets mee. Maar heb je niet al niet een groter probleem op het moment dat iemand willekeurige apps op je toestel kan installeren :?
De onderzoekers stellen dat het gebruik van een pincode onveilig kan zijn als een smartphone gebruikt wordt voor zaken als internetbankieren. Mobiele apps voor dergelijke gevoelige toepassingen zouden de sensoren op smartphones beter moeten blokkeren in hun specificaties, mits de instellingen van het mobieltje dit toelaten.
Ah wacht, ze bedoelen dus dat het mogelijk wordt om in-app pincodes, zoals die voor je internetbankieren app, te achterhalen, en dus niet per se de SIM of unlock pin.

[Reactie gewijzigd door .oisyn op 22 juli 2024 21:33]

Anoniem: 145867 @.oisyn11 november 2013 17:41
Daarnaast heb je niks aan die Pincode voor mijn bankieren app. Want als ik die app installeer op mijn tablet moet ik een andere pin invoeren of op dat moment opnieuw "registeren" met mijn random reader.

Daarnaast kan niemand met mijn toestel + Nummer geen geld naar een onbekende rekening sluizen.

Het is allemaal zoeken naar muizen en er olifanten van maken. De veiligheid zit wel redelijk goed in elkaar. Je kan beter iemand's pinpas jatten en zijn of haar pincode afkijken in een winkel o.a.
Grrrrrene @Anoniem: 14586711 november 2013 17:49
Als mensen net als bij wachtwoorden het ook vertikken om verschillende pincodes te gebruiken voor pinpas, credit card, telefoon-unlock en bankieren-app, heb je wel degelijk wat aan een willekeurige pincode :)

Maar het is allemaal wel heel hypothetisch. Wat je omschrijft was ook meteen mijn gedachte: veel succes met mijn pincode: je kunt er toch geen geld mee overmaken naar je eigen rekening :)
i-chat @Grrrrrene11 november 2013 18:37
je vergeet dat er in NL ook baken zijn die geen randomreaders gebruiken voor mobiel betalen bouw een nagemaakte skype app oid die heeft natuurlijk toegang tot camera en microfoon en vollia... als je slim bent houd je de bedragen klein genoeg want zelfs bij de rabobank kun je tot een limiet van ik meen een paar euro... zonder randomreaderbetalen (volgens mij moet je die optie specifiek blokkeren) dus zodra iemand eeenmaal gebruik maakt van die app... kun jee je aanval starten dikke kans dat het je lukt...

maar bij andere banken is het veel makkelijker.
Grrrrrene @i-chat11 november 2013 23:12
Ik denk dat je je vergist voor wat betreft de Rabobank: daar staat betalen aan onbekende rekeningen zonder randomreader default uit (bron). Net ook even bij mezelf gecheckt: dat staat uit, behalve voor bekende rekeningen tot een max van 1000 euro/week.

Misschien ben je in de war met pinnen zonder pincode, wat ook tot een bepaald maximum mogelijk is, maar daar gaat het hier niet om. Hoe het bij andere banken zit weet ik natuurlijk niet, aangezien ik alleen met de Rabobank ervaring heb :)
ghost010 @Grrrrrene12 november 2013 13:39
Bij ABN is het helemaal niet mogelijk om het uberhoupt aan of uit te zetten als je zonder reader naar een onbekende rekening wilt boeken.

Geen ide hoe dit bij ING gaat.maar volgens mij moet je bij ING perse een sms code invullen.

Ik denk dat wij in NL vrij beschermd zijn tegen dit soort zaakjes.


en zoizo..wat moet jij met een app die dit kan op je mobiel?(artikel) dan doe je al iets fout.
Gropah @.oisyn11 november 2013 17:39
Het schijnt dat er tegenwoordig ook steeds vaker malware tussen apps zit, vooral van 3rd partys (niet Play store). Op die manier zou zoiets als dit ook binnen kunnen komen.
FreshMaker @Gropah11 november 2013 23:34
Die keuze heb je als gebruiker.

Dat er malware tussen KAN zitten, wil niet zeggen dat ook werkelijk op dagelijkse basis gebeurt.
Waar je een vrijheid creeert onstaan veiligheidsproblemen, elk OS regelt op een andere manier hoe dat afgedicht gaat/kan worden.

Onder Windows kan je via allerlei wegen software installeren, met of zonder zgn admin rechten.
Apple heeft op zijn producten voor een andere weg gekozen, veiliger voor de meerderheid, maar sommigen willen die 'rubbertegel-omgeving' niet.
Android geeft je de "veiligheid" van hun eigen play-store, en door een tussenkomst van de gebruiker kan je ( tijdelijk) externe apps installeren ( instelling aan / uitzetten ), net als dat je UAC kan inregelen bij windows.

Ik ken genoeg mensen die nog nooit een app geinstalleerd hebben buiten de appstore, maar ook een aantal die de appstore nog nooit geopend hebben op hun androidphone
SebasKoot @.oisyn11 november 2013 17:32
Ben het helemaal met je eens, hoe zou zo'n app nou op je telefoon kunnen komen? niet via de play market want zoiets wordt na ontdekking meteen verbannen door Google
Anoniem: 166774 11 november 2013 18:13
Wat een onzin zeg... als er dan toch spyware op die telefoon moet staan kun je net zo goed gewoon keyloggen of iets dergelijks. Dit gaat echt nergens over.
Rembert @Anoniem: 16677411 november 2013 18:28
Ik weet niet in hoeverre dat soort apps in een sandbox draaien en hoe moeilijk het is om keyboard input te intercepten met Android. Als dat goed beveiligd is, dan is zo'n camera + mic best een goed idee. Je kunt het dan ook gaan gebruiken om bij pincode terminals de bewegingen te gaan interpreteren - ik ga er al heel lang van uit dat die verborgen cameraatjes met achterliggende software dat al kunnen: ik maak schijnbewegingen bij het intikken van mijn pin en ik gebruik meerdere vingers. Maar ja, dat bliepje vernaggelt wel weer mijn schijnbeweging. Enneh, ik heb er nog nooit over nagedacht om schijnbewegingen te maken met mijn ogen - ik leer van dit artikeltje dat die oog-schijnbewegingen dus wel nodig zijn.

Deze hack werkt nu kennelijk op Android en een proof of concept zou ook vast op iOS gerealiseerd kunnen worden. Interessanter wordt het wanneer dit soort grappen 'in the wild' voor gaan komen.
batjes @Rembert11 november 2013 19:17
Kans is vaak vrij groot dat wanneer onderzoekers hier achter komen, dat er allang iemand anders is met minder goede bedoelingen die dit geintje ook al heeft uitgehaald.
AutCha @Rembert12 november 2013 08:05
Als je de camera kan intercepten kan je volgens mij ook via de spiegeling van een bril -en bij een voldoende hoge resolutie- van de ooglens de pincode achterhalen.
PuzzleSolver 11 november 2013 17:30
Ik vind het eigenlijk veel verontrustender dat een achtergrond app mijn camera en microfoon aanzet om die naar internet toe streamen. Dat is hier blijkbaar voor nodig.
3x3 @PuzzleSolver11 november 2013 17:34
Het android is vrij open, en ruim voor het draaien van achtergrond apps. Maar als kritische gebruiker, kun je ook zelf instellen vanaf android 4.3 welke toestemmingen apps krijgen.
Grrrrrene @3x311 november 2013 17:50
Behalve apps als skype en camera-apps zou ik niet weten wat apps met mijn camera moeten. Een spelletje dat ook mijn camera wil gebruiken, installeer ik niet. Wat je zegt: als gebruiker mag je best kritisch blijven en niet klakkeloos overal op "ja" en "amen" klikken |:(

[Reactie gewijzigd door Grrrrrene op 22 juli 2024 21:33]

WindowsME @Grrrrrene11 november 2013 19:41
Met de app LBE Security kun je via Permission Management van geïnstalleerde apps de machtigingen weer wijzigen, mits je smartphone geroot is.
Bij elk gebruik toestemming vragen, in zijn geheel blokkeren, of gewoon als vanouds toestaan.

De eerste keer was toch even een behoorlijke 'eye-opener' toen ik zag hoeveel apps (en ook wat voor type apps) gemachtigd waren voor toegang tot mijn oproepgegevens, contactgegevens, Telefoon ID, camera, enz...

Zelf uiteraard allemaal in eerste instantie toestemming voor gegeven, dus dit is geen klaagzang. Meer een tip :)

LBE Security Master: http://forum.xda-developers.com/showthread.php?t=1422479
LBE Privacy Guard: http://forum.xda-developers.com/showthread.php?t=2320843
FreshMaker @WindowsME11 november 2013 23:42
Ik geef per definitie de toestemming alleen voor functie als ik het nodig denk te vinden.

spellen hebben mijn imei/phoneID niet nodig, veel apps hebben mijn locatie echt niet nodig.

LBE duurt even een half uurtje instellen de eeste keer, maar daarna geeft hij bij elke app / update een melding om het te controleren.
Ik gebruik het nu een half jaar, en buiten de accuduur die vooruitgegaan is, is het 'gevoel' ook prettiger
Anoniem: 175233 @PuzzleSolver11 november 2013 17:54
Tja... hoe wil je anders apps maken die bijvoorbeeld QR codes uitlezen? Daarvoor heeft de app simpelweg toegang nodig.

Wat wel vervelend is, is dat de toegang tot dit soort dingen niet goed genoeg geregeld is, waardoor uiteindelijk het vaak een alles of niets keuze is wat betreft security.
Ethelind @Anoniem: 17523311 november 2013 18:51
maar een QR-code reader heeft geen toegang nodig tot internet, en ook niet tot je microfoon.
en aangezien deze 2 functies ook nodig zijn hebben ze niks.
FreshMaker @Ethelind11 november 2013 23:49
maar een QR-code reader heeft geen toegang nodig tot internet, en ook niet tot je microfoon.
en aangezien deze 2 functies ook nodig zijn hebben ze niks.
Juist wel, een één van de functies van QR is de koppeling met internetlinks.
Waar je op moet letten is OF je de app nodig hebt, je hebt geen 4 QR apps nodig natuurlijk ;)

Zoals hierboven, een securityapp zoals LBE, deze kan je instellen om te vragen of je de camera / mic wilt toestaan, al dan niet tijdelijk
Ethelind @FreshMaker12 november 2013 08:53
Juist niet, het moet namelijk de code offline kunnen scannen, en dan moet het naar een appart appje kunnen openen om de link te gebruiken, als in, de play store, browser of spotify e.t.c.
qaudore 11 november 2013 17:31
je kunt ook gewoon naar vet afdrukken op het scherm kijken,
sommigen mensen maken hun scherm niet zo vaak schoon :) .
batjes @qaudore11 november 2013 19:16
Makkelijker is diegene te bellen, 1 keer over te laten gaan. en gewoon op zijn toestel meekijken welke code hij intikt.

Ik ken niemand die zijn code invoeren actief verbergt voor mensen om hem heen.
R4gnax @batjes11 november 2013 21:52
Dit gaat over pincodes voor banktransacties, in-app purchases en van dat soort zaken. Dit gaat niet over het unlock screen van je phone.

Naarmate deze techniek zich meer op de vingerbewegingen van de gebruiker inleest en 'leert' kan ik me trouwens indenken dat ook gewone onscreen keyboard input binnen schot komt. Als dit soort software een gebruiker lang genoeg observeert zou het niet gelimiteerd hoeven blijven tot de simpele layout van een numeriek toetsenbord voor pincode invoer, maar kan het ook wel eens gebruikt kunnen worden om arbitrair wachtwoorden te stelen.

[Reactie gewijzigd door R4gnax op 22 juli 2024 21:33]

Engineer @qaudore11 november 2013 17:47
Een paar keer in de browser door een webpagina vegen en die afdrukken zijn wel weg lijkt me? Klinkt mij als broodje-aap in de oren.
Anoniem: 426269 11 november 2013 17:30
Vinger op de camera leggen tijdens pincode intoetsen? En zover ik weet maakt mijn phone ook geen geluidjes als ik een pincode intoets. Niet dat ik bankier via mijn telefoon, maar goed...
Ethelind @Anoniem: 42626911 november 2013 18:50
hoeft ook niet perse een geluidje te zijn van de telefoon zelf. zodra jij je telefoon aan raakt maak je geluid, hoe zacht het ook is...
Jasper20 11 november 2013 17:32
Mah.

Heb de toetsen van geluid altijd uit. :)
BLACKfm @Jasper2011 november 2013 21:56
Ik zie een toepassing hierin meer dat mensen soms 'in gedachten' hardop de code zeggen die ze intypen. Ik betrap me er zelf heel vaak op, maar dan gaat het meestal binnensmonds..
Altijdgriep 11 november 2013 17:36
Ondanks dat ik geen alu-hoedje op heb, is de camera op mijn telefoon gewoon afgeplakt.
Eloy @Altijdgriep11 november 2013 19:55
Haha, ik ook. Krijg soms nog wel eens een blik toegeworpen van: 'WTF, hoezo heb je dat stickertje erop geplakt'. Het zit trouwens ook op mijn netbook, bij mijn desktop heb ik geen webcam. :+

Alleen jammer dat ik de microfoon niet kan afplakken, dat is zo onhandig bij telefoongesprekken :P
FreshMaker @Eloy11 november 2013 23:53
Same here ...
Krijg je een opmerking..... "hoe maak je dan een selfie ? "

* FreshMaker weet gewoon dat je dat niet eens wilt ... :+
BlackChedoe 11 november 2013 18:19
Wat dag je van google glass dan die heeft ook een camera dus daarmee kan je ook pincodes lekken. Gaat wel een beetje ver.
Anoniem: 426269 @BlackChedoe11 november 2013 18:49
Ja mijnheer de bank, ik wil mijn geld terug. Want ik kan er niets aan doen dat mijn bril gekraakt is...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq