Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitsproblem: PIN lässt sich über Bewegungssensoren bestimmen

Britischen Forschern der Newcastle University ist es gelungen, mithilfe der im Gerät verbauten Bewegungssensoren die auf dem Display eingegebene PIN zu bestimmen. Bereits bei einmaliger Eingabe einer viertstelligen Zahlen-PIN sei die Trefferquote bei 70 Prozent, nach fünf Eingaben liege die Quote bei 100 Prozent. Dadurch können nicht nur vertrauensunwürdige Apps ein Sicherheitsproblem darstellen, sondern unter bestimmten Umständen auch Webseiten. Das grundsätzliche Bestimmungsverfahren eignet sich nicht nur für jegliche PIN-Eingaben, sondern auch für die iOS-Tastatur.


Die Forscher heben in ihrem Bericht nämlich hervor, dass grundsätzlich auch auf dem Smartphone oder Tablet geöffnete Webseiten die Bewegungssensoren auslesen können. Dies ist je nach System auch im Hintergrund möglich, sodass eine Displaysperre oder ein Wechsel in einen anderen Browser-Tab nicht immer einen Schutz bietet. Nutzern ist diese Situation nur selten bewusst, denn bei der Sicherheit liegt ihr Fokus vor allem auf Mikrofon und Webcam.

In unserem Test (und dieser Demo: ) kann für Safari mobile allerdings Entwarnung gegeben werden. In diesem Fall wird bei einem Wechsel in einen anderen Tab oder bei Aktivierung der Displaysperre auch das JavaScript zum Auslesen der Bewegungssensoren gestoppt. Dies geschieht zwar vermutlich eher zur Erhöhung der Akkulaufzeit, stellt aber gleichzeitig auch einen Schutz vor derartigen Angriffen dar.

Da auch alternative Web-Browser für iOS zu WebKit verpflichtet sind, trifft dieses Verhalten auf alle Web-Browser in iOS zu. iOS-Apps sind allerdings grundsätzlich dazu in der Lage, auch im Hintergrund die Bewegungssensoren auszulesen. Unter bestimmten Voraussetzung kann ein App-Entwickler dafür sorgen, dass dies dauerhaft geschieht.

Ob Apple dieses Verhalten zukünftig ändern wird, lässt sich schwer abschätzen. Bislang ist im iOS-System nur der Zugriff auf Kamera, Mikrofon und GPS-System reglementiert, sodass ein Nutzer hier zunächst seine Zustimmung geben muss. Angesichts des Forschungsergebnisses könnte dies auch für die Bewegungssensoren sinnvoll sein.
Qualitätsprobleme bei MacBook-Displays: Apple tauscht Zulieferer aus, fing Charge aber ab
Qualitätsprobleme bei MacBook-Displays: Apple t...
iPhone 16 Pro: Erfahrungen
iPhone 16 Pro: Erfahrungen
Das MacBook Pro M4
Das MacBook Pro M4
Woche der Mac-Ankündigungen
Woche der Mac-Ankündigungen
Sonos-Qualitätsmisere: Viele Maßnahmen, damit "alles besser wird"
Sonos-Qualitätsmisere: Viele Maßnahmen, damit "...
Test AirPods Pro 2
Test AirPods Pro 2
Apples Eskalationskurs und Gebühren-Wirrwarr
Apples Eskalationskurs und Gebühren-Wirrwarr
Vor 15 Jahren: Als der iMac riesig wurde
Vor 15 Jahren: Als der iMac riesig wurde

Kommentare

Pixelmeister11.04.17 15:43
An dieser Stelle ist natürlich ein Fingerprintscanner von Vorteil.
+5
Paddy259011.04.17 16:08
Pixelmeister
An dieser Stelle ist natürlich ein Fingerprintscanner von Vorteil.

Nur hat den erstens (noch) nicht jeder und zum anderen wird nach jedem Neustart und zu anderen Gelegenheiten immer wieder die PIN abgefragt. Der Scanner minimiert das Risiko, aber ausschließen tut er es nicht....
+2
gegy11.04.17 16:16
Grundsätzlich könnte man damit ja eigentlich jedes PW auslesen, wenn man den Neigungssensor die iOs Tastatur überwachen lässt.
+2
aMacUser
aMacUser11.04.17 17:33
gegy
Grundsätzlich könnte man damit ja eigentlich jedes PW auslesen, wenn man den Neigungssensor die iOs Tastatur überwachen lässt.
Wobei das bei zu kleinen nah bei einanderes liegenden Tasten vermutlich zu ungenau wird. Bei einer PIN hat man ja nur den Nummernblock. Aber grundsätzlich wäre das sicherlich auch möglich.
+1
Sirblom11.04.17 18:56
Einfach das iPhone/iPad auf eine feste Unterlage legen, und schon herrscht Ruhe beim Bewegungssensor.
+2
nics
nics12.04.17 08:16
Deswegen neige ich das iPhone immer anders bei der Eingabe, mir war das schon lange bewusst. Am besten ist natürlich gar keinen PIN zu haben, dann kann man ihn auch nicht knacken.
+1
iKurt
iKurt12.04.17 10:25
"Gar keinen Pin" .. der ist guuuut
0
Phileas12.04.17 11:53
MacTechNews, danke für die Überprüfung der Studienergebnisse!
+1
Dirk!12.04.17 17:31
9to5mac behauptet gerade, dass Apple das Problem bereits mit iOS 9.3 behoben hätte:
0
aMacUser
aMacUser12.04.17 17:38
Dirk!
9to5mac behauptet gerade, dass Apple das Problem bereits mit iOS 9.3 behoben hätte:
In dem Artikel geht es nur um Webseiten, die das auslesen. Dass das nicht (mehr) geht, steht auch oben im Artikel. Aber Hintergrundapps können das weiterhin.
+2

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.