iPhone als Passwortspion
Forscher zeigen, wie eine iPhone-App Nutzer von Touchscreen-Geräten bei der Passworteingabe ausspioniert.
Die Sicherheitsexperten von thinkst haben eine App entwickelt, die das Passwort anderer iPad- und iPhone-Nutzer ausspäht, indem sie sie bei der Eingabe filmt und die Tastaturdrücke mit der Bilderkennungssoftware OpenCV auswertet. Damit lassen sich klassischen Shoulder-Surfing-Angriff mit geringem Aufwand automatisieren. Prinzipiell lässt sich der Angriff auch auf andere Touchscreen-Geräte übertragen.
Die App der Forscher ermittelt zunächst die Position der Textbox auf dem Login-Bildschirm des Gerätes. Anschließend wartet das Programm darauf, dass sich die Farbe einzelner Tasten auf der Bildschirmtastatur ändert – iOS färbt die Tasten zur optischen Bestätigung blau. Anhand des Abstands zur Textbox kann das Programm nun bestimmen, welcher Buchstabe gedrückt wurde und so schließlich das gesamte Passwort aufzeichnen.
- On-screen Keyboards Considered Harmful [1] von Thinkst Research
(rei [2])
URL dieses Artikels:
https://www.heise.de/-1280011
Links in diesem Artikel:
[1] http://blog.thinkst.com/2011/07/on-screen-keyboards-considered-harmful.html
[2] mailto:rei@heise.de
Copyright © 2011 Heise Medien