Lichtsensor in smartphone verraadt pincode

De lichtsensor in moderne smartphones kan verraden welke pincode je gebruikt, blijkt uit onderzoek van de universiteit van Graz.
Gonny van der Zwaag | iCulture.nl -

iphone-lichtsensorDe lichtsensor in hedendaagse smartphones kan verraden welke pincode je intikt. Door kleine lichtvariaties te analyseren bij het intoetsen van een pincode op een smartphone zouden kwaadwillenden je pincode kunnen achterhalen. De kans dat een boef op deze manier je pincode probeert te onderscheppen is overigens vrij klein, maar het laat wel zien dat door de ingebouwde sensoren in smartphones overal gevaar op de loer ligt.


Vorig jaar demonstreerde een onderzoeksteam hoe je ingetikte pincodes kon achterhalen door vibratiemetingen van de accelerometer uit te lezen. De nieuwe methode via de lichtsensor is ontdekt door Raphael Spreitzer van de technische universiteit van Graz. Hij beschrijft in een onderzoekspaper hoe gebruikers het toestel een beetje kantelen tijdens het intoetsen. De lichtsensor is gevoelig genoeg om de variaties te registreren. Hieruit zijn patronen af te leiden, waaruit je met hogere waarschijnlijkheid de pincode kunt raden.

Spreitzer berekende, dat hij bij willekeurig raden 20% kans heeft om de juiste pincode te raden, uitgaande van een set van 50 willekeurige pincodes. Dankzij lichtspionage kon Spreitzer die kans verhogen naar 80%. Helaas gebruikte Spreitzer in zijn onderzoek alleen toestellen die hij bij de hand had: een aantal Samsung’s, LG’s en een HTC Nexus One. Bij alle toestellen, behalve de HTC Nexus One, had de lichtsensor een sample rate (frequentie waarmee lichtvariaties worden gemeten) die hoog genoeg is om de pincode met hogere waarschijnlijkheid te achterhalen. Ook in de iPhone zit een dergelijke lichtsensor, die het omgevingslicht analyseert en op basis daarvan de helderheid van het scherm automatisch aanpast. Wat de sample rate van de iPhone is, konden wij na een kort onderzoek niet achterhalen. Een app om sensordata van de iPhone uit te lezen, Sensor Data (€7,99) kunnen wel gegevens van de accelerometer en gyroscoop uitlezen, maar niet van de lichtsensor.

Voorwaarde voor de aanval wel, dat de gebruiker zich in een lichte omgeving bevindt en de smartphone in de hand houdt.

Reacties: 19 reacties

  1. In België noemen we dat “paranoïde” zever..

  2. 1. complex password maken ipv éénvoudige pincode.
    2. altijd gebruik maken van je vingerafdruk scanner om je iphone te openen.
    Zo doe ik het toch.

  3. Beetje ver gezocht nietwaar

  4. @JanBBQ: Daar zat ik ook al aan te denken. Maar het is wel een goede ontdekking op het gebied van beveiliging.

  5. Te ver gezocht, de AIVD heeft dat allemaal niet nodig 🙂

  6. Ik heb niet zoveel verstand van het desbetreffende onderwerp, maar als ze diep genoeg in je iPhone zitten om je lichtsensor te kunnen gebruiken, kunnen ze dan niet gewoon zien wat je intypt??

  7. Als ze zo diep in mijn telefoon zitten, betekent dat ze hem gejat hebben en ik op zoek moet naar een nieuwe.

  8. Origineel geplaatst door JanBBQ
    Beetje ver gezocht nietwaar

    welwaar 😉

    Als met lichtspionage geprobeert wordt om mijn pincode te achterhalen, zal ik dat zeker merken. Daarbij komt dat ik op mijn 5s geen pincode hoef in te typen maar mijn duim scan.

  9. Wel een beetje een sensatie titel. De kans wordt verhoogd naar 80%. De sensor verraad het dus niet helemaal.

  10. @dries6951: och, ik doe toch geen bankzaken op mn iPhone

  11. Tegenwoordig is je iPhone code net zo belangrijk als je pinpas code 😉 uitkijken dus

  12. Waarschijnlijk reclame voor de app die belachelijk duur is

  13. Dit is wel héél ver gezocht…

  14. De kans dat er iemand over je schouder mee kijkt is groter

  15. Origineel geplaatst door xcvxvsvsd
    Waarschijnlijk reclame voor de app die belachelijk duur is

    Denk het niet. Dit is een wetenschappelijk onderzoek, dus niet commercieel ingestoken. En bij onderzoek mag je ook minder voor de hand liggende dingen onderzoeken.

  16. Neem aan dat je dit vanuit het Engels
    vertaald hebt, en dat is verder prima Gonny, maar lees je artikel nog even na. Staan wat fouten in.

  17. Origineel geplaatst door Gonny van der Zwaag
    En bij onderzoek mag je ook minder voor de hand liggende dingen onderzoeken.

    De wetenschappers van de TU Graz zijn op dit gebied deskundigen met een uitstekende reputatie. Zij hebben ook de verstrengeling (entanglement) van massaloze lichtdeeltjes wiskundig aangetoond en empirisch bewezen.

    Hartelijk dank voor het interessante artikel. 😉

  18. Misschien is de iPhone eerder wel meegenomen in het onderzoek, maar leverde het (door mogelijk betere ‘beveiliging’ van de lichtsensor dan die van de Android-toestellen) niet de verwachtte resultaten op, dat daarom de iPhone ‘gemakshalve’ maar niet is meegenomen in de test… 😉

  19. Zoals al eerder gemeld, maak ik me hier geen zorgen om bij een iPhone. Als ze de sensor willen uitlezen zitten ze al diep genoeg in je iPhone dat de pincode niet meer van belang is. Bij android is dat watmakkelijker, daar kan een app makkelijker bij de hardware. Maar dan nog, de app staat al op de mobiel, dus waarom dan de pincode achterhalen, en niet iets waardevollers pakken?

Reacties zijn gesloten voor dit artikel.