Mobilens rörelser avslöjar lösenordet

Ny teknik innebär nya attackvägar för dem som vill begå digitala brott. Ars Technica skriver om en grupp amerikanska forskare som har hittat ett sätt att utnyttja rörelsesensorerna i en Android-telefon för att lista ut vilka lösenord användaren har.

För att visa att det här inte bara är en teoretisk möjlighet utvecklade forskarna programmet Taplogger, en trojan som består av två delar.

Den ena, den som användarna ser, är ett spel. Under spelets gång registrerar Taplogger hur telefonen rör sig när användaren pekar på olika ställen på skärmen.

Den informationen används sedan “baklänges” av den andra delen, som ligger i bakgrunden och tjuvlyssnar när användaren matar in sin kod för att låsa upp telefonen eller matar in siffror under ett telefonsamtal.

Genom att hålla koll på hur telefonen rör sig kan Taplogger försöka räkna ut vilka knappar som trycks ned. Enligt forskarnas rapport är trojanen inte hundraprocentig i sitt räknande, men snävar i alla fall av urvalet för den som vill försöka knäcka dem markant.

I sammanhanget är svenska Behaviosec ett intressant företag. De utvecklar en teknik som också registrerar hur vi interagerar med våra prylar. Men medan de amerikanska forskarna visar hur rörelsemönster kan användas för att stjäla lösenord, är Behaviosecs idé att göra inloggningsuppgifterna säkrare.

Behaviosec registrerar nämligen inte bara vilka knappar som trycks ned, utan hur detta görs. Tempot mellan knapptryckningarna, så att säga. Det räcker alltså inte att mata in rätt kod, det måste också göras på rätt sätt.

På företagets webbplats finns bland annat en film som visar hur det kan fungera i en mobiltelefon.